美国国会下属监督机构政府问责局(GAO)发布了一份新报告,指出一些联邦机构未能在法律规定的截止日期前,完成物联网网络安全相关要求。
根据2020年出台的《物联网网络安全改进法案》要求,美国国家标准技术研究院(NIST)和管理与预算办公室(OMB)需制定安全采购物联网设备的相关指南。这些设备通常是连接到建筑、车辆或其他基础设施的联网技术和设备。该法案还要求23个联邦民事机构实施物联网网络安全要求,并由OMB建立豁免流程。
图:《物联网网络安全改进法案》的要求
根据GAO的报告,有3个机构表示未能在9月30日前完成物联网设备的清点工作,6个机构未提供完成清点工作的具体时间框架。此外,小企业管理局声称未使用任何物联网设备,因此无需开展清点工作。
GAO指出:“在OMB和各机构确保满足这些要求之前,这些机构将无法有效评估风险,也无法制定适当的安全要求或采取其他缓解措施。”
美联邦物联网威胁态势严峻
GAO强调,联邦机构对物联网技术的应用目的广泛,包括控制设备或设施的访问权限,以及监控系统和设备。物联网技术的广泛使用进一步凸显了适当网络安全协议的重要性,尤其是在物联网面临显著网络威胁的情况下。
司法部在2022年的报告中提到,一个俄罗斯的僵尸网络瞄准了大量物联网及运营技术设备,包括路由器、流媒体设备、时钟以及工业控制系统。今年早些时候,美国网络安全与基础设施安全局、国家安全局及联邦调查局联合评估认为,一个外国支持的网络团体已入侵了多个通信、能源、交通运输和水务组织的IT网络。
GAO写道:“这些技术面临严峻的网络威胁,这可能对组织运营与资产、个人隐私、关键基础设施乃至国家安全造成不利影响。随着网络威胁的日益复杂化,加强物联网与运营技术产品和服务的网络安全管理变得愈发紧迫。这些威胁包括蓄意攻击、环境干扰以及设备故障,可能危及美国的国家和经济安全利益。”
应尽快完成清点工作,以便开展风险评估
截至目前,在23个联邦民事机构中,只有国务院、财政部和核管理委员会完成了物联网设备清点工作。10个机构表示计划在2024财年结束前完成清点,另有3个机构计划在2025财年达成清点要求。
GAO建议,OMB应核实各机构报告的物联网网络安全豁免情况。6个机构获得了部分物联网豁免,但后续沟通显示,其中5个机构表示这些豁免事项不应被报告。在这5个机构中,4个已纠正了其豁免事项,1个取消了豁免。
此外,GAO建议以下机构应指示其首席信息官按时完成物联网设备的清点工作:教育部、卫生与公众服务部(HHS)、退伍军人事务部、劳工部、人事管理局、环境保护署、总务管理局、社会保障管理局以及美国国家航空航天局。同时,GAO建议HHS部长指示其首席信息官确保授予的物联网豁免符合OMB的相关要求。
转自安全内参,原文链接:https://www.secrss.com/articles/73287
封面来源于网络,如有侵权请联系删除
