DHS cần sức mạnh để thúc ép các cơ quan sửa các lỗ hổng an ninh

DHSneeds power to compel agencies to fix security holes

By Jill R. Aitoro06/16/2010

Theo:http://www.nextgov.com/nextgov/ng_20100616_1933.php

Bài được đưa lênInternet ngày: 16/06/2010

Lờingười dịch: Người có trách nhiệm về kinh phí là khôngphải là người có trách nhiệm đưa ra những chỉ dẫnvề an ninh không gian mạng trong chính phủ Mỹ hiện nay.Đó là hiện trạng giải quyết vấn đề an ninh khônggian mạng giữa các bộ của chính phủ Mỹ hiện nay.

Bộ An ninh Quốc nộiMỹ không có sức mạnh để thúc ép các cơ quan sửa cácchỗ bị tổn thương về an ninh được biết trong các hệthống máy tính của họ, một vấn đề mà làm cho chúngdễ bị tổn thương đối với các cuộc tấn công khônggian mạng, các đại diện từ các nhóm giám sát bên trongvà bên ngoài bộ này nói hôm thứ tư.

Đội Phản ứng nhanhcác sự cố máy tính Mỹ (US CERT) tại DHS, được thànhlập năm 2003 để điều phối những nỗ lực bảo vệchống lại các cuộc tấn công không gian mạng, đã cótiến bộ trong việc phát triển những khả năng dò tìmnhững sự cố không gian mạng trong các hệ thống mạngcủa toàn bộ chính phủ. Nhưng đội này “không có thẩmquyền đủ mạnh để đảm bảo rằng các cơ quan tuânthủ với những chỉ dẫn làm giảm lo lắng các mối đedọa và các chỗ bị tổn thương” , Ric-hard Skinner, nhàlãnh đạo điều tra tại DHS, đã nói trong sự thừa nhậncủa mình trước Ủy ban An ninh Quốc nội.

Gregory Wilshusen, giámđốc các vấn đề an ninh thông tin tại Văn phòng Kiểmtoán Chính phủ (GAO), đã tham chiếu tới sự thừa nhậntrong một báo cáo gần đây của GAO rằng đã thấy mộthệ thống dò tìm thâm nhập trái phép được quản lýbởi US CERT mà nó giám sát giao thông mạng đối với hoạtđộng độc hại tiềm tàng, gọi là Einstein 2, đã đượctriển khai chỉ cho 6 cơ quan liên bang cho tới tháng09/2009. Xác định liệu Einstein có giúp được các quanchức chính phủ dò tìm và đáp trả các cuộc tấn cônghay không vẫn còn là khó vì DHS không có các phương tiệnđo đạc cách mà các cơ quan phản ứng các cảnh báo vềan ninh.

DHS nên có thẩm quyềnyêu cầu các cơ quan sửa các chỗ bị tổn thương về anninh được biết, Sinner nói. “Những gì sau đó cần phảiđược khắc phục là cách mà họ biết rằng cơ quan phảithúc giục tuân thủ... Nếu bạn không tuân thủ, bạn cầnphải chịu trách nhiệm”.

Nhưng ngay cả bêntrong các cơ quan, luật an ninh liên bang đang tồn tại làmcho khó khăn đối với các quan chức để ép các quan chứclàm việc về những chỗ bị tổn thương của mạng,Wilshusen đã lưu ý. “Luật về Quản lý An ninh Thông tincủa Liên bang (FISMA) chỉ nói rằng [các CIO] và các quanchức an ninh có chứng chỉ sẽ có trách nhiệm đảm bảotuân thủ [với luật], nhưng không ép buộc phải tuânthủ. Một từ đó đã tạo nên sự khác biệt”.

TheHomelandSecurityDepartment doesn't have the power to compel agencies to fix knownsecurity vulnerabilities in their computer systems, a problem thatkeeps them vulnerable to cyberattacks, representatives f-rom watchdoggroups inside and outside the department said on Wednesday.

TheU.S. Computer Emergency Readiness Team at DHS,cre-ated in 2003 to coordinate efforts to defend against cyberattacks,has made progress in developing capabilities to detect cyberincidents in networks governmentwide. But the team "does nothave the appropriate enforcement authority to ensure that agenciescomply with mitigation guidance concerning threats andvulnerabilities," said Ric-hard Skinner, inspector general atDHS, in his testimony before the House Homeland Security Committee.

GregoryWilshusen, director of informationsecurityissues at the Government Accountability Office, referenced duringtestimonya recent GAO reportthat found an intrusion detection system managed by US-CERT thatmonitors network traffic for potential malicious activity, calledEinstein 2, had been deployed to only six federal agencies as ofSeptember 2009. Determining whether Einstein is helping governmentofficials detect and respond to attacks remains difficult because DHSdoes not have the means to measure how agencies respond to securityalerts.

DHSshould have the authority to require agencies to fix known securityvulnerabilities, Skinner said. "What then needs to be worked outis how they exercise that authority to compel compliance. . . . Ifyou're not compliant, you need to be held accountable."

Buteven within agencies, existing federal security law makes itdifficult for officials to force officials to work on networkvulnerabilities, Wilshusen noted. "The FederalInformation Security Management Actjust said that [chief information officers] and certifying securityofficers are responsible for ensuring compliance [with the law], butnot enforcing compliance. That one word made a difference."

Một dự luật đượcgiới thiệu tại Thượng viện vào 10/06 có thể đã tăngcường thẩm quyền của US CERT và cập nhật FISMA bằngviệc yêu cầu các cơ quan phải tích cực giám sát cácmạng đối với tính có thể bị tổn thương. Nó cũngchuyển việc giám sát an ninh thông tin liên bang từ Vănphòng Quản lý và Ngân sách (OMB) sang Bộ An ninh Quốc nội.

Nhưng việc trao choDHS nhiều thẩm quyền hơn sẽ không buộc các cơ quan tuântheo được vì bộ này không kiểm soát việc cấp vốncho an ninh không gian mạng, Stewart Baker, một đối tác vớihãng luật Steptoe và Johnson LLP và cựu thứ trưởng vềchính sách tại DHS, nói.

“Khó khăn với việcnói cho các cơ quan những gì phải làm vì bạn đang nóicho họ để chi tiền mf họ sẽ phải bỏ ra cho thứ gìđó nữa về an ninh máy tính”, ông nói. “Cần phải cósự hỗ trợ từ OMB để cũng nói, 'Chúng tôi có thể cótiền', hoặc 'Tôi xin lỗi, tiền bị cắt'”.

Một số thành viêncủa ủy ban đã đảm bảo ủng hộ dự luật của Thượngviện và hứa sẽ giới thiệu một phiên bản của Hạviện.

Abillintroduced in the Senate on June 10 would strengthen US-CERT'sauthority and up-date FISMA by requiring agencies to actively monitornetworks for vulnerabilities. It also would transfer oversight offederal information security f-rom the Officeof Management and Budgetto Homeland Security.

Butgiving DHS more authority won't drive agencies to fall in linebecause the department does not control cybersecurityfunding, said Stewart Baker, a partner with the law firm Steptoe andJohnson LLP and former assistant secretary for policy at DHS.

"Thedifficulty with telling agencies what to do is that you're tellingthem to spend money that they were going to spend on something elseon computer security," he said. "There needs to be supportf-rom OMB [to] either say, 'We can find the money,' or 'I'm sorry,take the cut.' "

Anumber of members of the committee pledged support for the Senatebill and vowed to introduce a House version.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com