據(jù)GOVCIO報道，美國退伍軍人事務(wù)部(VA)正在尋求大規(guī)模的網(wǎng)絡(luò)安全改革，使其整體的IT系統(tǒng)更加符合當(dāng)代網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)，滿足白宮制定的目標(biāo)，應(yīng)對不斷變化的網(wǎng)絡(luò)威脅形勢。

為此，VA要求在2023財年增加超過1億美元的網(wǎng)絡(luò)安全預(yù)算，為更廣泛領(lǐng)域的網(wǎng)絡(luò)安全改革計劃提供更多的資金，并且將特別關(guān)注實施零信任預(yù)防措施和安全體系。

這也是美國推動更廣泛的零信任措施實施的一部分，防止出現(xiàn)類似2021年SolarWinds攻擊事件中的大規(guī)模溢出漏洞，減輕日益增長的勒索軟件攻擊威脅。

事實上，VA一直面臨這日益嚴(yán)峻的勒索軟件攻擊，勒索組織也將越來越多的精力集中在衛(wèi)生部門的IT系統(tǒng)和醫(yī)院網(wǎng)絡(luò)中。一旦這些系統(tǒng)遭到勒索攻擊，必然會導(dǎo)致醫(yī)院無法運轉(zhuǎn)，勢必會給患者的生命帶來嚴(yán)重的危險，因此醫(yī)院在面臨勒索攻擊時更容易妥協(xié)。

在SolarWinds 黑客事件后，拜登政府在2021年5月發(fā)布了關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令。俄羅斯政府支持的惡意攻擊者在這起事件中獲得了美國政府內(nèi)各種服務(wù)器的訪問權(quán)限，攻擊行為數(shù)月未被發(fā)現(xiàn)，他們利用各種形式的溢出破壞和互聯(lián)訪問持續(xù)擴(kuò)大滲透范圍。

事后，拜登政府已經(jīng)從專注于外圍安全轉(zhuǎn)向基于身份和訪問憑證的保護(hù)，旨在限制系統(tǒng)破壞造成的損害并防止攻擊者更深入地滲透到組織的網(wǎng)絡(luò)中。

目前，VA官員已經(jīng)討論了在機(jī)構(gòu)內(nèi)部和政府之間實施更廣泛的零信任安全的必要性，企業(yè)安全架構(gòu)總監(jiān)Royce Allen指出，在當(dāng)前的威脅環(huán)境下，依舊遵守舊的網(wǎng)絡(luò)安全模型是不明智的。

他表示，“我們必須專注于連續(xù)統(tǒng)一的實踐，驗證關(guān)于數(shù)據(jù)使用和我們的設(shè)備的身份、授權(quán)和認(rèn)證。這就是我們做我們所做的事情以及為什么零信任至關(guān)重要的原因。”

此次VA網(wǎng)絡(luò)安全系統(tǒng)改革重點放在快速現(xiàn)代化的健康IT系統(tǒng)，新發(fā)布的預(yù)算文件概述了“現(xiàn)代化VHA的醫(yī)療設(shè)備，同時提高其安全性、網(wǎng)絡(luò)安全性和與VA的電子健康記錄 (EHR) 的兼容性，需要深思熟慮的系統(tǒng)工程和廣泛的跨VA業(yè)務(wù)線和VHA臨床項目的合作。”

這包括保護(hù)該機(jī)構(gòu)現(xiàn)代化電子健康記錄系統(tǒng)中包含的醫(yī)療設(shè)備和患者信息的措施，該系統(tǒng)目前正處于第一波現(xiàn)場部署階段。

設(shè)備安全也是預(yù)算資金分配的一個重點方向，預(yù)算文件顯示“VA目前正在使用的，為退伍軍人提供醫(yī)療保健的離散醫(yī)療設(shè)備已經(jīng)達(dá)到上百萬臺，其中有109028個醫(yī)療設(shè)備/臨床系統(tǒng)在 VA信息技術(shù)網(wǎng)絡(luò)上進(jìn)行通信，VHA-342 醫(yī)療服務(wù)必須進(jìn)行特殊管理和定期更新，以應(yīng)對已知和新出現(xiàn)的網(wǎng)絡(luò)安全風(fēng)險。”

還有近1300萬美元的預(yù)算被用于隱私和記錄管理。VA已要求為CRISP(信息安全保護(hù)持續(xù)準(zhǔn)備)業(yè)務(wù)增加 1300萬美元，“旨在降低VA計劃和系統(tǒng)中的系統(tǒng)性信息安全風(fēng)險，以遵守美國聯(lián)邦安全和隱私法規(guī)。” 和2022財年相比，CRISP預(yù)算增加了近 25%，2023財年總的預(yù)算資金達(dá)到6000萬美元。

值得注意的是，VA網(wǎng)絡(luò)安全預(yù)算要求對整體信息安全運營進(jìn)行大幅度增加，其金額為4300萬美元，占2023財年總增幅接近一半，其中相當(dāng)多的一部分將用于零信任安全改革，屬于VA特別強(qiáng)調(diào)的“新興準(zhǔn)備計劃”的內(nèi)容。

VA的預(yù)算文件概述了“這種新安全態(tài)勢的適應(yīng)和實施為解決VA的系統(tǒng)缺陷(例如企業(yè)安全治理、基礎(chǔ)能力差距、缺乏數(shù)據(jù)和身份治理)提供了一種強(qiáng)大的戰(zhàn)略方法，并引發(fā)了現(xiàn)有VA安全資源的模式轉(zhuǎn)變，從當(dāng)前的合規(guī)心態(tài)轉(zhuǎn)變?yōu)榧僭O(shè)違規(guī)并首先采用零信任安全的心態(tài)。”

參考來源：https://governmentciomedia.com/va-requests-over-100-million-increase-cybersecurity-budget