أصدرت هيئة المحاسبة الحكومية الأمريكية مؤخرًا تحديثًا حول مستوى التقدم في تنفيذ الأمر التنفيذي رقم 14028، المعني بتعزيز الأمن السيبراني للولايات المتحدة.
في عام 2021، حدّد البيت الأبيض 55 متطلبًا للقيادة والرقابة كان لا بد من استيفائها لتحسين الأمن السيبراني في أنظمة تقنية المعلومات الفيدرالية، على أن تلتزم جميع الأنظمة بتحقيق المستوى المعياري المحدد أو تجاوزه. وقد أوضح الأمر التنفيذي رقم (14028) بشأن تحسين الأمن السيبراني للأمة دوافع هذا المتطلب، مشيرًا إلى أن "منع الحوادث السيبرانية واكتشافها وتقييمها ومعالجتها يُعد أولوية قصوى وضرورة أساسية للأمنين الوطني والاقتصادي".
أضاف الأمر التنفيذي (EO) أن استكمال هذه المتطلبات أمرٌ أساسي، إذ ينبغي للحكومة أن تقود بالقدوة لتشجيع القطاع الخاص أيضًا على الحد من مخاطر الاختراقات والهجمات السيبرانية.
وحدّد الأمر التنفيذي الجهات المسؤولة عن تنفيذ هذه المتطلبات، وهي: وكالة الأمن السيبراني وأمن البنية التحتية (CISA) التابعة لوزارة الأمن الداخلي، والمعهد الوطني للمعايير والتقنية (NIST)، ومكتب الإدارة والميزانية (OMB).
ركزت المتطلبات الرئيسية لهذا الطلب على حلول الأمن السيبراني بما في ذلك:
أفاد تحديث أبريل 2024 أن الوكالات المسؤولة الثلاث أكملت 49 من المتطلبات. وتم تحديد أن المتطلب الخاص بتوحيد دليل الإجراءات للرد على الثغرات والحوادث السيبرانية غير قابل للتطبيق. بالإضافة إلى ذلك، أنجزت الوكالات المتطلبات الخمسة المتبقية جزئيًا.
من بين المتطلبات الرئيسية، تحديث الأمن السيبراني للحكومة الفيدرالية هو الوحيد الذي تم تحقيقه بالكامل. وتضمنت الجهود المبذولة في هذا المجال تنفيذ أو البدء في تنفيذ بنية الثقة الصفرية للوكالات الفيدرالية، وتأمين خدمة السحابة ومركزية الوصول إلى بيانات الأمن السيبراني.
وشملت المبادرات الأخرى التعامل مع البيانات غير المصنفة، وإحراز تقدم في تنفيذ المصادقة متعددة العوامل والتشفير، بالإضافة إلى إعداد وثائق إحالة تقنية لأمن الحوسبة السحابية.
وبينما أشاد التحديث بالجهود التي بذلتها الوكالات لتحسين الأمن السيبراني الفيدرالي، شدّد الاستنتاج على أهمية استكمال المتطلبات المتبقية.
المتطلبات الخمسة المتبقية هي:
وعلى الرغم من دمج مكتب الإدارة والميزانية (OMB تحليل التكاليف جزئيًا في عملية الموازنة السنوية، فإنه لم يقدم دليلاً للحصول على تفاصيل حول تنفيذ جميع متطلبات القيادة والرقابة في الطلب.
ساعدت وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب الإدارة والميزانية (OMB) المعهد الوطني للمعايير والتكنولوجيا (NIST) على وضع المعايير والإرشادات اللازمة لتدابير أمن البرمجيات الفيدرالية المطلوبة. كما وضعت كل من وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ومكتب الإدارة والميزانية (OMB) والمعهد الوطني للمعايير والتكنولوجيا (NIST) تعريف لبرامج إدمان البرمجيات وقائمة أولية ببرامج إدمان البرمجيات الشائعة التي تتوافق مع هذا التعريف. ومع ذلك، لم تصدر وكالة الأمن السيبراني وأمن البنية التحتية (CISA) قائمة البرامج الشائعة بحلول الموعد النهائي في سبتمبر 2023.
لم تقدم وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أدلة على الخطوات المتخذة لتحسين العمليات من خلال توصيات لتحسين العمليات المستقبلية. ويشير التحديث إلى أن هذه الخطوة أساسية لتمكين المجلس من إجراء عملياته المستقبلية المتعلقة بالحوادث بفعالية.
على الرغم من أن مكتب الإدارة والميزانية والإدارة (OMB) أفاد بأنه قد أدرج الكشف عن نقاط النهاية والاستجابة لها (EDR) ضمن توجيهاته للوكالات فيما يتعلق بتقديم الميزانيات وأدرج الكشف عن نقاط النهاية والاستجابة لها في قائمة مقاييس إدارة معلومات الأسواق المالية في السنة المالية 2023، فإن الوكالة لم تتمكن من تقديم دليل على هذا التوثيق. وشارك التحديث في القلق من أنه من دون الدليل، من المحتمل ألا تحصل الوكالات على التمويل الكافي لمبادرات ابتكار النقاط النهائية والاستجابة لها.
قدم مكتب الإدارة والميزانية إرشادات للوكالات فيما يتعلق بالتسجيل، مثل الاحتفاظ بالسجل وإدارة السجلات. ومع ذلك، لم يثبت مكتب الإدارة والميزانية أن الوكالات لديها ما يكفي من الموارد لتنفيذ التسجيل أو الاحتفاظ بالسجل أو إدارة سجلات.
قدم التحديث توصيات إجراءات تنفيذية محددة للمتطلبات الخمسة المتبقية التي سيتم الانتهاء منها بحلول 31 ديسمبر 2024.