Счетная палата США обвинила IT-директоров в медленном внедрении ИБ-рекомендаций

Счетная палата США (The Government Accountability Office, GAO) опубликовала 19-страничный отчет Cybersecurity and Information Technology: Federal Agencies need to Strengthen Efforts to Address High-Risk Areas («Кибербезопасность и информационные технологии: федеральным агентствам необходимо активизировать усилия по решению проблем, связанных с областями повышенного риска»), указывающий на основные проблемы в кибербезопасности федеральных ведомств.

В отчете GAO определены четыре области, имеющие большое значение для кибербезопасности США:

• Разработка комплексной стратегии кибербезопасности и осуществление эффективного надзора;

• Обеспечение безопасности федеральных систем и информации;

• Защита критически важной инфраструктуры;

• Защита конфиденциальных данных.

GAO подчеркнула «ключевые проблемы кибербезопасности», требующие внимания правительства, включая разработку и реализацию более комплексной федеральной стратегии национальной кибербезопасности и глобального киберпространства, снижение рисков глобальной цепочки поставок, устранение уязвимостей в программах информационной безопасности федеральных агентств.

По словам исследователей, федеральные агентства выполнили 73% из примерно 5,1 тыс. рекомендаций по кибербезопасности и управлению IT, которые GAO предложила с 2010 года. Около 950 рекомендаций по кибербезопасности и около 300 рекомендаций по IT не были реализованы.

Как сообщили в GAO, «федеральные инвестиции в IT часто страдают от недостатка дисциплинированного и эффективного управления». В отчете отмечается, что 23 агентства потерпели неудачу в своих усилиях по разработке всеобъемлющей стратегии управления рисками кибербезопасности.

В августе 2018 года GAO рекомендовала направление развития роли IT-директоров в правительстве в соответствии с федеральным законом и руководством Административно-бюджетного управления (Office of Management and Budget, OMB). В руководстве предоставляются рекомендации по обеспечению IT-директоров и персонала «необходимыми знаниями и навыками для эффективного освоения IT». По состоянию на июль 2021 года только 3 из 24 крупных федеральных агентств приняли рекомендации GAO.

Как отмечается в отчете GAO, «давние и широко распространенные уязвимости продолжают ставить под угрозу безопасность и эффективность IT и электронных данных федеральных агентств, а также безопасность критически важных инфраструктур страны». По словам представителей GAO, федеральные агентства и OMB предприняли ряд важных действий, однако необходимы дальнейшие изменения.