Baru-baru ini, Kantor Akuntabilitas Pemerintah Amerika Serikat mengeluarkan pembaruan tentang kemajuan Perintah Eksekutif 14028, Meningkatkan Keamanan Siber Negara.
Pada tahun 2021, Gedung Putih mengidentifikasi 55 persyaratan kepemimpinan dan pengawasan yang perlu dipenuhi untuk meningkatkan keamanan siber dalam sistem TI federal, dengan semua sistem harus memenuhi atau melebihi standar yang diuraikan. Perintah Eksekutif (14028) tentang Meningkatkan Keamanan Siber Bangsa menguraikan alasan persyaratan tersebut, menyatakan bahwa “pencegahan, deteksi, penilaian dan remediasi insiden siber adalah prioritas utama dan penting untuk keamanan nasional dan ekonomi.”
Selain itu, perintah eksekutif (EO) mengatakan bahwa menyelesaikan ini sangat penting karena pemerintah harus memimpin dengan memberi contoh untuk mendorong sektor swasta untuk juga mengurangi risiko pelanggaran keamanan siber dan serangan keamanan siber.
EO menunjuk lembaga yang bertanggung jawab untuk menerapkan persyaratan: Badan Keamanan Siber dan Infrastruktur Departemen Keamanan Dalam Negeri (CISA), Institut Standar dan Teknologi Nasional (NIST) dan Kantor Manajemen dan Anggaran (OMB).
Persyaratan utama dari perintah ini difokuskan pada solusi keamanan siber termasuk:
Pembaruan April 2024 melaporkan bahwa tiga lembaga yang bertanggung jawab menyelesaikan 49 persyaratan. Persyaratan untuk menstandardisasi pedoman dalam menanggapi kerentanan dan insiden keamanan siber ditetapkan tidak berlaku. Selain itu, lembaga telah menyelesaikan sebagian lima persyaratan sisanya.
Dari persyaratan utama, memodernisasi keamanan siber pemerintah federal adalah satu-satunya yang sepenuhnya terpenuhi. Upaya-upaya di bidang tersebut termasuk menerapkan atau memulai penerapan arsitektur zero trust untuk badan-badan federal, mengamankan layanan cloud, dan memusatkan akses ke data keamanan siber.
Inisiatif lain termasuk menangani data yang tidak diklasifikasikan, membuat kemajuan dalam menerapkan autentikasi multifaktor dan enkripsi dan mengembangkan dokumentasi arsitektur referensi teknis keamanan cloud.
Meskipun pembaruan tersebut memuji upaya lembaga-lembaga dalam meningkatkan keamanan siber federal, kesimpulan tersebut menekankan pentingnya menyelesaikan persyaratan yang masih tersisa.
Lima persyaratan yang tersisa adalah:
Sementara OMB sebagian memasukkan analisis biaya ke dalam proses anggaran tahunan, mereka tidak memberikan bukti untuk detail tentang pelaksanaan semua persyaratan kepemimpinan dan pengawasan dalam pesanan.
CISA dan OMB membantu NIST dengan kriteria dan pedoman untuk langkah-langkah keamanan perangkat lunak pemerintah federal yang diperlukan. CISA, OMB dan NIST juga menciptakan definisi perangkat lunak penting dan daftar awal kategori perangkat lunak yang konsisten dengan definisi itu. Namun, CISA tidak mengeluarkan daftar kategori perangkat lunak pada batas waktu September 2023.
CISA belum memberikan bukti langkah-langkah yang diambil untuk meningkatkan operasi melalui rekomendasi untuk meningkatkan operasi di masa depan. Pembaruan menyatakan bahwa langkah ini adalah kunci untuk memungkinkan dewan untuk secara efektif melakukan ulasan insiden di masa depan.
Meskipun OMB melaporkan bahwa mereka telah memasukkan deteksi dan respons titik akhir (EDR) dalam panduan mereka kepada lembaga untuk pengajuan anggaran dan memasukkan EDR dalam daftar metrik FISMA pada tahun fiskal 2023, agensi tersebut tidak dapat memberikan bukti dokumentasi ini. Pembaruan berbagi kekhawatiran bahwa tanpa bukti, ada kemungkinan bahwa lembaga tidak akan menerima dana yang cukup untuk inisiatif EDR.
OMB memberikan panduan kepada agensi mengenai pencatatan, seperti retensi log dan manajemen log. Namun, OMB tidak menunjukkan bahwa lembaga memiliki sumber daya yang cukup untuk menerapkan pencatatan, retensi log atau manajemen log.
Pembaruan membuat rekomendasi tindakan eksekutif khusus untuk lima persyaratan yang tersisa yang harus diselesaikan pada 31 Desember 2024.