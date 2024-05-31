Recentemente, il Government Accountability Office degli Stati Uniti ha pubblicato un aggiornamento sui progressi dell'Ordine Esecutivo 14028: "Improving the Nation’s Cybersecurity".
Nel 2021, la Casa Bianca ha identificato 55 requisiti di leadership e supervisione che dovevano essere soddisfatti per migliorare la cybersecurity nei sistemi IT federali, con tutti i sistemi che dovevano rispettare o superare lo standard indicato. L'Ordine Esecutivo (14028) sulla cybersecurity nazionale ha elaborato le ragioni del requisito, affermando che la "prevenzione, rilevamento, valutazione e correzione degli incidenti informatici è una massima priorità ed essenziale per la sicurezza nazionale ed economica."
Inoltre, l'ordine esecutivo (EO) ha stabilito che completare questi dati è essenziale perché il governo dovrebbe essere d'esempio per incoraggiare anche il settore privato a ridurre il rischio di violazioni e attacchi alla cybersecurity.
L'EO ha designato le agenzie responsabili dell'implementazione dei requisiti: la Cybersecurity and Infrastructure Security Agency (CISA) del Department of Homeland Security, il National Institute of Standards and Technology (NIST) e l'Office of Management and Budget (OMB).
I requisiti chiave di questo ordine si concentravano sulle soluzioni di cybersecurity, tra cui:
L'aggiornamento di aprile 2024 ha riportato che le tre agenzie responsabili hanno completato 49 dei requisiti. Il requisito di standardizzare il playbook per rispondere alle vulnerabilità e agli incidenti di cybersecurity è stato ritenuto non applicabile. Inoltre, le agenzie hanno parzialmente completato i restanti cinque requisiti.
Tra i requisiti chiave, la modernizzazione della cybersecurity del governo è l'unica completamente soddisfatta. Gli sforzi in quell'ambito includevano l'implementazione o l'avvio dell'architettura zero-trust per le agenzie federali, la sicurezza dei servizi cloud e la centralizzazione dell'accesso ai dati di cybersecurity.
Altre iniziative includevano l'intervento di dati non classificati, i progressi nell'implementazione dell'autenticazione a più fattori, della crittografia e lo sviluppo di una documentazione di architettura tecnica di riferimento per la sicurezza cloud.
Sebbene l'aggiornamento abbia elogiato le agenzie per gli sforzi compiuti per migliorare la cybersecurity, la conclusione ha sottolineato l'importanza di soddisfare i requisiti rimanenti.
I cinque requisiti rimanenti sono:
Sebbene l'OMB abbia parzialmente incorporato un'analisi dei costi nel processo di bilancio annuale, non ha fornito prove per l'attuazione di tutti i requisiti di leadership e supervisione previsti nell'ordine.
CISA e OMB hanno assistito il NIST nella definizione dei criteri e delle linee guida per le misure di sicurezza software richieste dal governo federale. CISA, OMB e NIST hanno inoltre creato una definizione di software critico e un elenco preliminare di categories coerenti con tale definizione. Tuttavia, CISA non ha pubblicato l'elenco delle categories di software entro la scadenza di settembre 2023.
CISA non ha fornito prove delle misure adottate per migliorare le operazioni attraverso raccomandazioni per migliorare le operazioni future. L'aggiornamento afferma che questo passaggio è fondamentale per consentire al consiglio di amministrazione di condurre efficacemente le future recensioni.
Sebbene l'OMB abbia riferito di aver incorporato il rilevamento e la risposta degli endpoint (EDR) nelle sue linee guida alle agenzie per la presentazione di budget e di aver incluso le metriche FISMA nell'elenco delle metriche nell'anno fiscale 2023, l'agenzia non è stata in grado di fornire la documentazione di tale prova. L'aggiornamento condivide la preoccupazione che, senza le prove, sia possibile che le agenzie non ricevano fondi sufficienti per le iniziative EDR.
OMB ha fornito indicazioni alle agenzie riguardo alla registrazione, come la conservazione e la gestione dei log. Tuttavia, l'OMB non ha spiegato se le agenzie avessero risorse sufficienti per implementare la registrazione, la conservazione dei log o la gestione dei log.
L'aggiornamento ha formulato raccomandazioni specifiche per azioni esecutive per i cinque requisiti rimanenti da completare entro il 31 dicembre 2024.