據(jù)GOVCIO報道，美國退伍軍人事務部(VA)正在尋求大規(guī)模的網(wǎng)絡安全改革，使其整體的IT系統(tǒng)更加符合當代網(wǎng)絡安全的標準，滿足白宮制定的目標，應對不斷變化的網(wǎng)絡威脅形勢。

為此，VA要求在2023財年增加超過1億美元的網(wǎng)絡安全預算，為更廣泛領(lǐng)域的網(wǎng)絡安全改革計劃提供更多的資金，并且將特別關(guān)注實施零信任預防措施和安全體系。

這也是美國推動更廣泛的零信任措施實施的一部分，防止出現(xiàn)類似2021年SolarWinds攻擊事件中的大規(guī)模溢出漏洞，減輕日益增長的勒索軟件攻擊威脅。

事實上，VA一直面臨這日益嚴峻的勒索軟件攻擊，勒索組織也將越來越多的精力集中在衛(wèi)生部門的IT系統(tǒng)和醫(yī)院網(wǎng)絡中。一旦這些系統(tǒng)遭到勒索攻擊，必然會導致醫(yī)院無法運轉(zhuǎn)，勢必會給患者的生命帶來嚴重的危險，因此醫(yī)院在面臨勒索攻擊時更容易妥協(xié)。

在SolarWinds 黑客事件后，拜登政府在2021年5月發(fā)布了關(guān)于改善國家網(wǎng)絡安全的行政命令。俄羅斯政府支持的惡意攻擊者在這起事件中獲得了美國政府內(nèi)各種服務器的訪問權(quán)限，攻擊行為數(shù)月未被發(fā)現(xiàn)，他們利用各種形式的溢出破壞和互聯(lián)訪問持續(xù)擴大滲透范圍。

事后，拜登政府已經(jīng)從專注于外圍安全轉(zhuǎn)向基于身份和訪問憑證的保護，旨在限制系統(tǒng)破壞造成的損害并防止攻擊者更深入地滲透到組織的網(wǎng)絡中。

目前，VA官員已經(jīng)討論了在機構(gòu)內(nèi)部和政府之間實施更廣泛的零信任安全的必要性，企業(yè)安全架構(gòu)總監(jiān)Royce Allen指出，在當前的威脅環(huán)境下，依舊遵守舊的網(wǎng)絡安全模型是不明智的。

他表示，“我們必須專注于連續(xù)統(tǒng)一的實踐，驗證關(guān)于數(shù)據(jù)使用和我們的設備的身份、授權(quán)和認證。這就是我們做我們所做的事情以及為什么零信任至關(guān)重要的原因?！?/p>

此次VA網(wǎng)絡安全系統(tǒng)改革重點放在快速現(xiàn)代化的健康IT系統(tǒng)，新發(fā)布的預算文件概述了“現(xiàn)代化VHA的醫(yī)療設備，同時提高其安全性、網(wǎng)絡安全性和與VA的電子健康記錄 (EHR) 的兼容性，需要深思熟慮的系統(tǒng)工程和廣泛的跨VA業(yè)務線和VHA臨床項目的合作?！?/p>

這包括保護該機構(gòu)現(xiàn)代化電子健康記錄系統(tǒng)中包含的醫(yī)療設備和患者信息的措施，該系統(tǒng)目前正處于第一波現(xiàn)場部署階段。

設備安全也是預算資金分配的一個重點方向，預算文件顯示“VA目前正在使用的，為退伍軍人提供醫(yī)療保健的離散醫(yī)療設備已經(jīng)達到上百萬臺，其中有109028個醫(yī)療設備/臨床系統(tǒng)在 VA信息技術(shù)網(wǎng)絡上進行通信，VHA-342 醫(yī)療服務必須進行特殊管理和定期更新，以應對已知和新出現(xiàn)的網(wǎng)絡安全風險?！?/p>

還有近1300萬美元的預算被用于隱私和記錄管理。VA已要求為CRISP(信息安全保護持續(xù)準備)業(yè)務增加 1300萬美元，“旨在降低VA計劃和系統(tǒng)中的系統(tǒng)性信息安全風險，以遵守美國聯(lián)邦安全和隱私法規(guī)。” 和2022財年相比，CRISP預算增加了近 25%，2023財年總的預算資金達到6000萬美元。

值得注意的是，VA網(wǎng)絡安全預算要求對整體信息安全運營進行大幅度增加，其金額為4300萬美元，占2023財年總增幅接近一半，其中相當多的一部分將用于零信任安全改革，屬于VA特別強調(diào)的“新興準備計劃”的內(nèi)容。

VA的預算文件概述了“這種新安全態(tài)勢的適應和實施為解決VA的系統(tǒng)缺陷(例如企業(yè)安全治理、基礎(chǔ)能力差距、缺乏數(shù)據(jù)和身份治理)提供了一種強大的戰(zhàn)略方法，并引發(fā)了現(xiàn)有VA安全資源的模式轉(zhuǎn)變，從當前的合規(guī)心態(tài)轉(zhuǎn)變?yōu)榧僭O違規(guī)并首先采用零信任安全的心態(tài)?！?/p>

參考來源：https://governmentciomedia.com/va-requests-over-100-million-increase-cybersecurity-budget