據(jù)GOVCIO報(bào)道，美國(guó)退伍軍人事務(wù)部(VA)正在尋求大規(guī)模的網(wǎng)絡(luò)安全改革，使其整體的IT系統(tǒng)更加符合當(dāng)代網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，滿足白宮制定的目標(biāo)，應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅形勢(shì)。

為此，VA要求在2023財(cái)年增加超過1億美元的網(wǎng)絡(luò)安全預(yù)算，為更廣泛領(lǐng)域的網(wǎng)絡(luò)安全改革計(jì)劃提供更多的資金，并且將特別關(guān)注實(shí)施零信任預(yù)防措施和安全體系。

這也是美國(guó)推動(dòng)更廣泛的零信任措施實(shí)施的一部分，防止出現(xiàn)類似2021年SolarWinds攻擊事件中的大規(guī)模溢出漏洞，減輕日益增長(zhǎng)的勒索軟件攻擊威脅。

事實(shí)上，VA一直面臨這日益嚴(yán)峻的勒索軟件攻擊，勒索組織也將越來越多的精力集中在衛(wèi)生部門的IT系統(tǒng)和醫(yī)院網(wǎng)絡(luò)中。一旦這些系統(tǒng)遭到勒索攻擊，必然會(huì)導(dǎo)致醫(yī)院無法運(yùn)轉(zhuǎn)，勢(shì)必會(huì)給患者的生命帶來嚴(yán)重的危險(xiǎn)，因此醫(yī)院在面臨勒索攻擊時(shí)更容易妥協(xié)。

在SolarWinds 黑客事件后，拜登政府在2021年5月發(fā)布了關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令。俄羅斯政府支持的惡意攻擊者在這起事件中獲得了美國(guó)政府內(nèi)各種服務(wù)器的訪問權(quán)限，攻擊行為數(shù)月未被發(fā)現(xiàn)，他們利用各種形式的溢出破壞和互聯(lián)訪問持續(xù)擴(kuò)大滲透范圍。

事后，拜登政府已經(jīng)從專注于外圍安全轉(zhuǎn)向基于身份和訪問憑證的保護(hù)，旨在限制系統(tǒng)破壞造成的損害并防止攻擊者更深入地滲透到組織的網(wǎng)絡(luò)中。

目前，VA官員已經(jīng)討論了在機(jī)構(gòu)內(nèi)部和政府之間實(shí)施更廣泛的零信任安全的必要性，企業(yè)安全架構(gòu)總監(jiān)Royce Allen指出，在當(dāng)前的威脅環(huán)境下，依舊遵守舊的網(wǎng)絡(luò)安全模型是不明智的。

他表示，“我們必須專注于連續(xù)統(tǒng)一的實(shí)踐，驗(yàn)證關(guān)于數(shù)據(jù)使用和我們的設(shè)備的身份、授權(quán)和認(rèn)證。這就是我們做我們所做的事情以及為什么零信任至關(guān)重要的原因?！?/p>

此次VA網(wǎng)絡(luò)安全系統(tǒng)改革重點(diǎn)放在快速現(xiàn)代化的健康IT系統(tǒng)，新發(fā)布的預(yù)算文件概述了“現(xiàn)代化VHA的醫(yī)療設(shè)備，同時(shí)提高其安全性、網(wǎng)絡(luò)安全性和與VA的電子健康記錄 (EHR) 的兼容性，需要深思熟慮的系統(tǒng)工程和廣泛的跨VA業(yè)務(wù)線和VHA臨床項(xiàng)目的合作?！?/p>

這包括保護(hù)該機(jī)構(gòu)現(xiàn)代化電子健康記錄系統(tǒng)中包含的醫(yī)療設(shè)備和患者信息的措施，該系統(tǒng)目前正處于第一波現(xiàn)場(chǎng)部署階段。

設(shè)備安全也是預(yù)算資金分配的一個(gè)重點(diǎn)方向，預(yù)算文件顯示“VA目前正在使用的，為退伍軍人提供醫(yī)療保健的離散醫(yī)療設(shè)備已經(jīng)達(dá)到上百萬臺(tái)，其中有109028個(gè)醫(yī)療設(shè)備/臨床系統(tǒng)在 VA信息技術(shù)網(wǎng)絡(luò)上進(jìn)行通信，VHA-342 醫(yī)療服務(wù)必須進(jìn)行特殊管理和定期更新，以應(yīng)對(duì)已知和新出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。”

還有近1300萬美元的預(yù)算被用于隱私和記錄管理。VA已要求為CRISP(信息安全保護(hù)持續(xù)準(zhǔn)備)業(yè)務(wù)增加 1300萬美元，“旨在降低VA計(jì)劃和系統(tǒng)中的系統(tǒng)性信息安全風(fēng)險(xiǎn)，以遵守美國(guó)聯(lián)邦安全和隱私法規(guī)?！?和2022財(cái)年相比，CRISP預(yù)算增加了近 25%，2023財(cái)年總的預(yù)算資金達(dá)到6000萬美元。

值得注意的是，VA網(wǎng)絡(luò)安全預(yù)算要求對(duì)整體信息安全運(yùn)營(yíng)進(jìn)行大幅度增加，其金額為4300萬美元，占2023財(cái)年總增幅接近一半，其中相當(dāng)多的一部分將用于零信任安全改革，屬于VA特別強(qiáng)調(diào)的“新興準(zhǔn)備計(jì)劃”的內(nèi)容。

VA的預(yù)算文件概述了“這種新安全態(tài)勢(shì)的適應(yīng)和實(shí)施為解決VA的系統(tǒng)缺陷(例如企業(yè)安全治理、基礎(chǔ)能力差距、缺乏數(shù)據(jù)和身份治理)提供了一種強(qiáng)大的戰(zhàn)略方法，并引發(fā)了現(xiàn)有VA安全資源的模式轉(zhuǎn)變，從當(dāng)前的合規(guī)心態(tài)轉(zhuǎn)變?yōu)榧僭O(shè)違規(guī)并首先采用零信任安全的心態(tài)?！?/p>

參考來源：https://governmentciomedia.com/va-requests-over-100-million-increase-cybersecurity-budget