På en konferanse i USAs hovedstad Washington DC i går, presenterte Center for Strategic and International Studies (CSIS) en rapport som lister tjue tilstrekkelige og nødvendige tiltak for å verne om IT-sikkerheten i offentlige organer.
Rapporten inneholder et utkast til Consensus Audit Guidelines (CAG, lastes ned i pdf), og består av tjue kontroller for et effektivt kyberforsvar.
Bakgrunnen for rapporten er de mange kyberangrepene USA har stått overfor de siste årene. Flere av dem har ført til datatap i militære IT-systemer. Nylig herjet en ikkespesifisert dataorm i amerikanske forsvarsnett både i USA og i Afghanistan.
Bak CAG, i tillegg til CSIS, står USAs departement for innenrikssikkerhet (Homeland Security) og koordinatororganet National Security Agency. John Gilligan, tidligere IT-sjef i både USAs luftforsvar og energidepartement, og framtredende medlem av overgangsgruppen til president Barack Obama, har ledet arbeidet for CAG.
CAG skal ut på 30 dagers offentlig høring. Så skal det gjennomføres en pilottest, to forskjellige og påfølgende gjennomganger, arbeidsseminarer innrettet mot å utarbeide automatiske kontrollrutiner for de tjue punktene, og en sammenlikning med eksisterende regler for revisjon av IT-sikkerhet.
På konferansen uttalte forskningssjef Alan Paller i SANS Institute at CAG «er det beste eksempelet på risikobasert sikkerhet jeg noen gang har sett».
– Folkene bak CAG representerer den mest komplette innsikten i risikoen som våre systemer står overfor. Hittil ble kybersikkerheten ledet av folk som ikke hadde noen idé om hvordan angrepene ble gjennomført. De laget en illusjon av sikkerhet. CAG vil gjøre denne illusjonen til virkelighet.
Hele dokumentet er på 40 sider. Dette er de tjue grunnleggende kontrollene for IT-sikkerhet. De er delt i to grupper. De første 15 kan allerede i dag måles og valideres automatisk. De siste fem krever manuell validering, heter det:
- Inventar over tillatt og ikke-tillatt maskinvare
- Inventar over tillatt og ikke-tillatt programvare
- Sikre konfigurasjoner for maskinvare og programvare der slike er tilgjengelige
- Sikre konfigurasjoner for nettverksenheter for brannmur og rutere
- Forsvar på randen av nettverket
- Vedlikehold og analyse av fullverdige sikkerhetslogger
- Applikasjonssikkerhet
- Kontrollert bruk av administrative privilegier
- Kontrollert tilgang basert på faktiske behov
- Kontinuerlig testing for sårbarhet
- Løpende overvåking og kontroll av kontoer
- Forsvar mot ondsinnet kode
- Begrensninger og kontroll av porter, protokoller og tjenester
- Kontroll av trådløse enheter
- Vern mot datalekkasjer
- Oppsett av sikre nettverk
- Øvelser med angrep
- Evnen til å reagere under kriser
- Sikrede kopier av data
- Vurdering av sikkerhetskompetanse og opplæring for å dekke over hull
Les også:
- [27.01.2012] USA har brukt kybervåpen
- [15.09.2009] Sikkerhetsfolk prioriterer feil
- [09.07.2009] Venter nye nettangrep mot Sør-Korea
- [07.07.2009] Personvern svekker USAs kyberforsvar
- [09.06.2009] Beryktet hacker blir Obama-rådgiver
- [30.01.2009] Kirgisistan rammet av kyberkrig
- [22.12.2008] Supermakt ikke klar for kyberkrig
- [04.12.2008] Pentagon-virus rammet base i Afghanistan
- [26.11.2008] Slik forbereder Kina seg på kyberkrig
- [14.08.2008] Pentagon toner ned offensiv kyberkrig
- [10.04.2008] Øvelse viste alvorlige hull i USAs kyberforsvar
- [07.04.2008] USA øver på offensiv kyberkrig
