详细内容或原文请订阅后点击阅览
物联网:需要联邦采取行动来满足立法要求
美国政府问责署的发现物联网 (IoT) 通常是指允许建筑物、车辆和交通基础设施等场所中的“事物”进行连接和交互的技术和设备。美国国家标准与技术研究所 (NIST) 和国土安全部网络安全和基础设施安全局已发布安全采购物联网的指南。例如,NIST 已发布网络安全指南,供各机构在系统生命周期的各个阶段使用,以降低物联网的获取、采购和使用风险。2022 年和 2023 年,管理和预算办公室 (OMB) 还发布了指南,以确保《2020 年物联网网络安全改进法案》涵盖的 23 个民事机构遵守 NIST 的指导方针,建立物联网清单,并处理物联网网络安全豁免。23 个民事机构中的许多机构尚未完全满足 OMB 对物联网清单和豁免的要求。在这 23 家机构中:三家表示,他们不会在 OMB 规定的 2024 年 9 月 30 日截止日期之前完成清单编制,并表示他们计划在 2025 财年完成清单编制;六家没有提供时间表;一家表示,由于没有任何物联网,因此不打算建立清单。六家机构报告称,他们已批准物联网网络安全豁免某些要求。然而,在跟进这六家机构时,其中五家机构的官员表示,他们应该
来源:美国政府问责局__信息安全信息快速事实
美国依赖互联网连接设备来获取电力和水等必需品以及智能扬声器等日常用品。
受 2020 年法律约束的联邦机构被要求在 2024 财年结束前盘点其互联网连接设备,并记录其网络安全如何符合联邦标准。 截至 2024 年 7 月,9 家机构表示他们不会在盘点截止日期前完成。
机构可以获得不符合标准的设备的豁免。 但管理和预算办公室向国会提供了有关豁免的错误数据,因为它没有核实机构是否正确报告了这些数据。
我们的建议解决了这个问题,甚至更多。
建议亮点
GAO 的发现
物联网 (IoT) 通常是指允许在建筑物、车辆和交通基础设施等场所中连接和交互“事物”的技术和设备。美国国家标准与技术研究所 (NIST) 和国土安全部网络安全和基础设施安全局已发布安全采购物联网的指南。例如,NIST 已发布网络安全指南,供各机构在系统生命周期的各个阶段使用,以降低物联网的获取、采购和使用风险。2022 年和 2023 年,管理和预算办公室 (OMB) 还发布了指南,以确保 2020 年《物联网网络安全改进法案》涵盖的 23 个民间机构遵守 NIST 的指导方针,建立物联网清单,并处理物联网网络安全豁免。
23 个民事机构中的许多机构尚未完全满足 OMB 关于库存和豁免的物联网要求。这 23 个机构中:
管理和预算办公室 (OMB) 和机构实施选定的物联网 (IoT) 要求