Siber Güvenlik: İyileştirme Gerektiren Bir Baskı

11.11.2020
35
Siber Güvenlik: İyileştirme Gerektiren Bir Baskı

Ülkenin dört bir yanındaki binlerce gazi hakkında muazzam miktarda veri barındırmaktadır. Ayrıca, Veterans Health Administration (VHA), Amerika Birleşik Devletleri’ndeki en büyük entegre sağlık sistemi olarak kabul edilir. Dolayısıyla, VA’da siber güvenlik konusuna gelince, tehlikede olan çok şey var. Önemli verileri korumak için yeterince yapılıyor mu?

Güvenlik Zafiyetleri Bol

VA her yıl bir Federal Bilgi Güvenliği Modernizasyon Yasası (FISMA) denetimi gerçekleştirir ve temel bulgularından bazılarını kamuya açık bir raporda yayınlar. Bu raporun amacı, VA’nın bilgi güvenliği uygulamalarının FISMA gerekliliklerine ne ölçüde uyduğunu belirlemektir.

Yakın tarihli bir raporun sonuçlarına göre , VA, FISMA gerekliliklerine uymada oldukça önemli zorluklarla karşılaşmaya devam ediyor. Bu, bilgi güvenliği programının doğası ve olgunluğunun doğrudan sonucudur. Rapor, departman içinde siber güvenliği iyileştirmek için 29 ayrı öneri sunuyor. Bu bulgular, VA’nın mümkün olan en kısa sürede ele alması gereken sekiz temel endişe alanına bölünmüştür:

  • Ajans çapında güvenlik yönetimi programı. 

    Departman, temel güvenlik açıklarını ele almak için düzinelerce belirli eylem planı üzerinde çalışan bir ekibe sahiptir. Ancak yine de bu ekipte yüzleşilmesi gereken önemli riskler ve zayıflıklar var.

  • Kimlik yönetimi ve erişim kontrolleri. VA sistemlerine kimin erişebileceğini ve bu sistemler içinde ne yapmalarına izin verileceğini belirleyen yönetim programlarına erişim söz konusu olduğunda ciddi endişeler vardır. Departman, güçlü parola yönetimi, denetim günlüğü ve izleme, kimlik doğrulama (iki faktör dahil) ve erişim yönetimi sistemlerinden yoksundur.
  • Yapılandırma yönetimi kontrolleri. VA, departman genelinde asgari güvenliği sağlamak ve teşvik etmek için temel yapılandırmalara sahipken, denetçiler bunların benimsenmediğini veya sürekli olarak uygulanmadığını keşfetti.
  • Sistem geliştirme / değişiklik yönetimi kontrolleri. VA, tüm yeni sistemlerin ve uygulamaların çevrimiçi olurken güvenlik standartlarını karşılamasını sağlamak için yürürlükte olan politikaları belgelemiştir. Ne yazık ki, çok sayıda proje için onaylar ve planlar eksik veya tamamen eksik bulundu. En göze batan şey, iki büyük veri merkezi ve beş VA tıp merkezi için eksik yetkilerdi.
  • Acil durum planlaması. Büyük bir sistem arızası durumunda, VA’nın eski verileri korumak ve kurtarmak için acil durum planları vardır. Bununla birlikte, bu planlar tam olarak test edilmedi ve en az bir düzine tıp merkezinin kritik sistemler için yedeklemeleri şifrelemediğini gösteren kanıtlar var.
  • Olay müdahalesi ve izleme. VA, son birkaç yılda bu alanda önemli iyileştirmeler yapmış olsa da, departman bir dizi önemli iş ortağıyla hassas ağ bağlantılarını tam olarak izlemekte başarısız oluyor.
  • Sürekli izleme. VA, sistemdeki anormallikleri belirleyebilen kapsamlı bir sürekli izleme programından yoksundur. Bu, yetkisiz uygulamaları sürekli olarak bulmayı ve kaldırmayı zorlaştırır. Siber önemli
  • Yüklenici sistemleri gözetimi. VA’nın birlikte çalıştığı harici yükleniciler söz konusu olduğunda, departman bulut bilişim sistemlerini izlemek için yeterli kontrollere sahip değildir. Ayrıca, rapor, bu yüklenici ağlarında eski ve / veya yamasız işletim sistemleri gibi şeylerin bir sonucu olarak çok sayıda yüksek riskli güvenlik açığı buldu.
ETİKETLER:
YAZAR BİLGİSİ
YORUMLAR

Bir Cevap Yazın

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.