详细内容或原文请订阅后点击阅览
关键基础设施保护:各机构需要加强对勒索软件行为的监督并评估联邦支持
GAO 发现的勒索软件(除非支付赎金才会导致数据和系统无法使用的软件)正在产生越来越严重的破坏性影响。例如,财政部报告称,2021 年美国勒索软件相关事件的总价值达到 8.86 亿美元,比 2020 年增长 68%(见图)。财政部报告的美国勒索软件相关事件的美元价值除了货币价值外损失,勒索软件还导致了其他影响,例如当医院 IT 系统无法使用时无法提供紧急护理。 FBI 报告称,2022 年有 870 个关键基础设施组织成为勒索软件的受害者,影响了 16 个关键基础设施部门中的 14 个部门。在这些事件中,近一半来自四个行业——关键制造、能源、医疗保健和公共卫生以及交通系统。勒索软件的全部影响可能尚不清楚,因为报告通常是自愿的。美国国土安全部计划在 2024 年 3 月之前发布新的报告规则,以更全面地了解勒索软件的影响。四个选定部门采用领先做法来解决勒索软件的情况在很大程度上尚不清楚。指定为特定部门风险管理牵头人的联邦机构均未确定美国国家标准与技术研究所针对勒索软件问题的建议做法的采用程度。这样做将有助于主要联邦机构成为国家打击勒索软件的更有效的合作伙伴。选定的六个主要联邦机构中的大多数已经或计划根据法律要求评估各自部门的网络安全威胁风险,包括勒索软件。关于评估其对部门解决勒索软件问题的支持的牵头机构,一半的机构已经评估了其支持的各个方面。例如,各机构已收到并评估了有关勒索软件指南和简报的反馈。然而,没有人按照国家基础设施保护计划的建议,充分评估其对部门支持的有效性。全面评估有效性可以帮助解决部门对机构沟通、协调以及及时共享威胁和事件信息的担忧。GAO 为何进行这项研究国家的 16 个关键基础设施部门提供电力、医疗保健以及天然气和石油分配等基本服务。然而,针对关键基础设施的网络威胁(例如勒索软件)代表了重大的国家安全挑战。本报告 (1) 描述了勒索软件攻击对国家关键基础设施的影响,(2) 评估了联邦机构为监督行业采用领先技术而做出的努力。联邦实践,(3) 评估联邦机构评估勒索软件风险和相关支持有效性的努力。为此,GAO 选择了四个关键基础设施部门——关键制造、能源、医疗保健
来源:美国政府问责局__信息安全信息美国政府问责署的发现
勒索软件(一种除非支付赎金否则使数据和系统无法使用的软件)的影响越来越严重。例如,美国财政部报告称,2021 年美国勒索软件相关事件的总价值达到 8.86 亿美元,比 2020 年增长了 68%(见图)。
财政部报告的美国勒索软件相关事件的美元价值
除了金钱损失外,勒索软件还导致了其他影响,例如当医院 IT 系统无法使用时无法提供紧急护理。联邦调查局报告称,2022 年有 870 个关键基础设施组织成为勒索软件的受害者,影响了 16 个关键基础设施部门中的 14 个。在这些事件中,近一半来自四个部门——关键制造业、能源、医疗保健和公共卫生以及交通系统。由于报告通常是自愿的,因此可能无法了解勒索软件的全部影响。国土安全部计划在 2024 年 3 月之前发布新的报告规则,以便更全面地了解勒索软件的影响。
四个选定行业采用领先做法来应对勒索软件的情况在很大程度上是未知的。在选定行业中,没有一个被指定为风险管理负责人的联邦机构确定了采用国家标准与技术研究所推荐的应对勒索软件做法的程度。这样做将有助于主要联邦机构成为国家打击勒索软件努力中更有效的合作伙伴。
为什么 GAO 进行这项研究
该国 16 个关键基础设施部门提供电力、医疗保健、天然气和石油分配等基本服务。然而,勒索软件等对关键基础设施的网络威胁代表着重大的国家安全挑战。