美国弗吉尼亚州将其网络安全预算增加了1亿多美元,重点是实施零信任。标准,达到白宫设定的目标,并应对不断变化的网络威胁形势。为此,VA要求在2023财年增加1亿多美元的网络安全预算,为更广泛领域的网络安全改革计划提供更多资金,并将特别注意实施零信任预防措施和安全系统。这也是美国实施零信任措施以防止大规模溢出漏洞(如2021SolarWinds攻击中的漏洞)并减轻日益增长的勒索软件攻击威胁的更广泛推动的一部分。事实上,退伍军人事务部一直面临着越来越多的勒索软件攻击,勒索软件组织也越来越多地将精力集中在卫生部门的IT系统和医院网络上。这些系统一旦遭到勒索攻击,医院必然无法运转,也必然会给患者的生命带来严重的危险。因此,医院在面临勒索攻击时更容易妥协。在SolarWinds遭到黑客攻击后,拜登政府于2021年5月发布了一项行政命令,以改善国家网络安全。此次事件中,得到俄罗斯政府支持的恶意攻击者获得了美国政府内部多台服务器的访问权。攻击几个月都没有被发现,他们继续使用各种形式的溢出破坏和互联网访问来扩大渗透。事后看来,拜登政府已经从关注边界安全转向基于身份和访问凭证的保护,旨在限制系统漏洞的损害并防止攻击者更深入地渗透到组织的网络中。目前,VA官员已经讨论了在该机构内部和整个政府实施更广泛的零信任安全的必要性,企业安全架构总监RoyceAllen指出,在当前的威胁环境下,坚持旧网络是不明智的安全模型。的。“我们必须专注于一系列实践,验证身份、授权和验证数据使用和我们的设备。这就是我们做我们所做的事情的原因,也是零信任至关重要的原因,”他说。VA网络安全系统改革的重点是快速实现卫生IT系统的现代化,新发布的预算文件概述了“VHA医疗设备的现代化,同时提高其安全性、网络安全性和与VA电子健康记录(EHR)的兼容性”的安全性,需要深思熟虑的系统工程和跨部门的广泛合作VA业务线和VHA临床项目。”这包括保护该机构现代化电子健康记录系统中包含的医疗设备和患者信息的措施,该系统目前处于WaveField部署阶段的第一阶段。设备安全也是预算资金分配的重点方向。预算文件显示,“VA目前使用数百万台离散医疗设备为退伍军人提供医疗保健,其中109,028台医疗设备/临床系统在VA信息技术网络中,VHA-342医疗服务必须专门管理并定期更新以解决已知问题以及新出现的网络安全风险。”近1300万美元的预算也用于隐私和记录管理。VA已要求为CRISP(信息安全保护持续准备)业务追加1300万美元,“旨在减轻VA程序和系统中的系统信息安全风险,以符合美国联邦安全和隐私法规。”与2022财年相比,CRISP预算增加了近25%,使2023财年的总预算达到6000万美元。值得注意的是,VA网络安全预算要求大幅增加整体信息安全运营,达4300万美元,占2023财年总增幅的近一半,其中相当一部分将用于零信任安全改革,这是VA特别强调EmergingReadiness的内容计划。退伍军人事务部的预算文件概述了“适应和实施这种新的安全态势提供了强大的战略解决VA系统缺陷的技术方法,例如企业安全治理、基础能力差距、缺乏数据和身份治理,以及触发器现有VA安全资源的范式转变,从当前的合规心态转变为假设违规和采用零信任安全首先。”参考来源:https://governmentciomedia.com/va-requests-over-100-million-increase-cybersecurity-budget
