Një raport i ri nga Zyra e Përgjegjësive të Qeverisë (GAO) ka theksuar mungesën e mbikëqyrjes së mbrojtjeve të ransomware në infrastrukturën kritike nga agjencitë federale të SHBA-së, duke paraqitur një kërcënim për qëllimin e Shtëpisë së Bardhë për të forcuar qëndrueshmërinë kibernetike.

GAO zbuloi se agjencitë federale përgjegjëse për vlerësimin e sigurisë kibernetike të sektorëve kritikë si energjia dhe kujdesi shëndetësor u përqendruan vetëm në mbrojtjen bazë të sigurisë kibernetike dhe udhëzimet e përgjithshme, në vend të udhëzimeve federale specifike për adresimin e ransomware. Raporti analizoi në mënyrë specifike strategjitë e zbutjes së ransomware në sektorët kritikë të prodhimit, energjisë, kujdesit shëndetësor dhe shëndetit publik dhe transportit.

Ndërsa GAO vuri në dukje se shumica e agjencive federale që drejtojnë dhe menaxhojnë rrezikun për sektorët kritikë kanë vlerësuar ose planifikojnë të vlerësojnë rreziqet që lidhen me ransomware, ato nuk e kanë vlerësuar plotësisht përdorimin e praktikave kryesore të sigurisë kibernetike ose nëse mbështetja federale ka zbutur në mënyrë efektive rreziqet në këto sektorët.

Ky raport vjen në një kohë kur sulmet e ransomware kanë qenë në rritje, me incidente të dukshme që prekin kompanitë e energjisë dhe ujit në fillim të vitit 2024, duke nënvizuar nevojën urgjente për të forcuar qëndrueshmërinë kibernetike të industrive kritike.

Instituti Kombëtar i Standardeve dhe Teknologjisë (NIST) zhvilloi një kornizë të sigurisë kibernetike për menaxhimin e rrezikut të ransomware-it në shkurt 2022. Megjithatë, GAO zbuloi se asnjë nga agjencitë e menaxhimit të rrezikut të sektorit (SRMA) të vlerësuara nuk kishte përcaktuar shtrirjen e miratimit të profilit të ransomware NIST siç rekomandohet nga Plani Kombëtar i Mbrojtjes së Infrastrukturës (NIPP).

Sipas GAO, të kuptuarit e shtrirjes së miratimit të NIST nga sektorët ose praktikave të ngjashme që synojnë të përmirësojnë sigurinë dhe qëndrueshmërinë kundër sulmeve të ransomware është thelbësore për arritjen e qëllimit të Shtëpisë së Bardhë për të forcuar qëndrueshmërinë kritike të infrastrukturës.

Raporti theksoi gjithashtu se agjencitë e rrezikut dhe menaxhimit identifikuan shtatë grupe të tjera praktikash nga agjencitë federale dhe industria e sigurisë kibernetike për të adresuar ransomware. Sidoqoftë, këto praktika u përqendruan kryesisht në mbrojtjet themelore të sigurisë kibernetike për menaxhimin e kërcënimeve të ndryshme kibernetike përtej ransomware dhe nuk përputheshin plotësisht me praktikat kryesore federale të krijuara nga NIST.

Në përgjigje të këtyre gjetjeve, GAO bëri gjithsej 11 rekomandime për SRMA-të për të përmirësuar mbikëqyrjen federale të mbrojtjeve specifike të ransomware në sektorët kritikë të infrastrukturës. Këto rekomandime synonin zhvillimin e procedurave rutinë të vlerësimit për të matur efektivitetin e mbështetjes federale dhe miratimin e praktikave kryesore të sigurisë kibernetike në adresimin e kërcënimeve të ransomware.

Departamenti i Sigurisë Kombëtare (DHS) dhe Departamenti i Shëndetit dhe Shërbimeve Njerëzore (HHS) ranë dakord me rekomandimet, ndërsa Departamenti i Energjisë (DOE) u pajtua pjesërisht me një rekomandim dhe nuk u pajtua me një tjetër. Departamenti i Transportit (DOT) ra dakord me një rekomandim, pjesërisht u pajtua me një dhe nuk u pajtua me një të tretë.

Duke komentuar raportin, Mark B. Cooper, President & Themelues i PKI Solutions, theksoi nevojën për një qasje më të koordinuar midis agjencive dhe një nivel më të thellë vlerësimi në infrastrukturën kritike për të forcuar qëndrueshmërinë operacionale ndaj peizazhit në zhvillim të kërcënimit të sigurisë kibernetike.

Në përfundim, raporti i GAO-s thekson nevojën urgjente që agjencitë federale të përmirësojnë mbikëqyrjen e mbrojtjeve të ransomware në infrastrukturën kritike dhe të sigurojnë miratimin e praktikave kryesore të sigurisë kibernetike për të zbutur kërcënimet kibernetike në rritje dhe në zhvillim me të cilat përballen këta sektorë. Dështimi për ta bërë këtë do të përbënte sfida të rëndësishme për qëllimin e Shtëpisë së Bardhë për të forcuar qëndrueshmërinë kibernetike në industritë kritike.

Lidhja e burimit