Ministrstvo za obrambo zaostruje pravila o varnosti v oblaku

Tyler Cross
Objavljeno dne: Januar 25, 2024

Novo obvestilo, ki ga je poslalo Ministrstvo za obrambo (DoD), je razkrilo, da zaostrujejo varnostne zahteve za ponudnike oblakov na ravni FedRAMP.

Zgodovinsko gledano ni bilo jasno, kaj je certificiranje FedRAMP in kaj to vključuje. Pred novimi pravili je klavzula DFARS navajala, da mora tretji izvajalec zagotoviti, da njihovi ponudniki storitev v oblaku izpolnjujejo zahteve FedRAMP.

Takrat so te zahteve preprosto pomenile, da morajo ponudniki storitev upoštevati pravila za hrambo podatkov, poročila o incidentih in zahteve glede dostopa.

Čeprav je to še vedno pomemben korak, ni uspelo ustvariti osnovne ravni varnostnih zahtev, ki bi jih morali upoštevati ponudniki storitev v oblaku. Vendar pa je bila po spremembi klavzule DFARS ta pomislek odpravljen.

Zdaj je za odobritev FedRAMP potrebna minimalna osnovna obramba kibernetske varnosti. FedRAMP uporablja tretje podjetje, da oceni, ali ponudniki izpolnjujejo podana merila.

»Da se organizacije civilne družbe štejejo za enakovredne FedRAMP Moderate, morajo doseči 100 % z najnovejšo osnovno linijo nadzora zmerne varnosti FedRAMP prek ocene, ki jo izvede tretja organizacija za ocenjevanje (3PAO), ki jo priznava FedRAMP,« piše v memorandumu.

S tem je tako rekoč žogica v rokah ponudnikov storitev v oblaku. Če želijo še naprej sodelovati z ministrstvom za obrambo, bodo morali svojo kibernetsko varnost izboljšati. Podjetja, ki ubirajo bližnjice s svojimi praksami kibernetske varnosti, bodo izgubila posel Ministrstva za obrambo.

Ni povsem znano, kaj je povzročilo, da je Ministrstvo za obrambo poostrilo svoja varnostna pravila, vendar obstaja nekaj ugibanj. V preteklih letih so se vdori v podatke in vdori v ponudnike storitev v oblaku močno povečali, zlasti z vzponom umetne inteligence, zaradi česar je lažje kot kdaj koli prej. Če lahko heker pridobi podatke od ponudnika storitev, lahko pridobi podatke vsakega izvajalca, s katerim sodeluje.

V odgovor so ameriške vladne agencije sodelovale, da bi zagotovile, da podjetja upoštevajo smernice minimalnih varnostnih zahtev.

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.safetydetectives.com/news/department-of-defense-tightens-rules-on-cloud-security/