הענן הפדרלי בארה"ב לא מאובטח

דו"ח של סוכנות ביקורת ממשלתית בארה"ב קובע שסוכנויות הממשל איבדו שליטה על ספקי שירותי הענן והן לא מחייבות אותם לעמוד בהסמכת FedRAMP. הדו"ח, בו נבדקו 19 סוכנויות, קובע כי בשל כך, נתונים של הממשל הפדרלי בארה"ב חשופים במקרה הרע לגישה לא מאושרת ובמקרה הטוב לאובדן. לעומת זאת, ב-DISA, רגולטור התקשוב במגזר הביטחוני בארה"ב, אומרים שהמצב יותר טוב, ואצלם יש כבר שלושה ספקים שעברו את ההסמכה ועוד שבעה בדרך

שירותי הענן למגזר הפדרלי בארה"ב מגלגלים מיליארדים. למען הדיוק, מדובר ב-348 חוזים לאספקת שירותי ענן בהיקף של 12 מיליארדי דולרים בשנת 2014. הרבה כסף. הבעיה היא, שאותם ספקי ענן שזכו במכרזים, אמורים לעמוד בהסמכת אבטחת מידע בשם FedRAMP. בתיאוריה, הם היו אמורים לעבור את ההסמכה עד חודש יוני האחרון. בפועל, הם לא עשו זאת.

דו"ח שבדק את הנושא מצא שהבעיה עוד יותר מורכבת מזה. מתברר שסוכנויות הממשל שאמורות לבקר את ספקי הענן לא מסוגלות לעשות זאת. הן אפילו לא יודעות לדווח את המלאי המלא והעדכני של כל שירותי הענן בהם נעשה שימוש במגזר הפדרלי. במילים אחרות, בעוד יד ימין רוצה הגנה בסייבר, יד שמאל לא מיישמת את הרגולציה בתחום. נשמע מוכר?  לפי הדו"ח שיפורט בהמשך, הבעיה היא שאין סוכנות מרכזית אחת בממשל הפדרלי שאחראית ליישום הרגולציה, ואין עונשים לסוכנויות שלא מיישמות אותה. גם זה נשמע מוכר. מכאן, שלסוכנויות הממשלתיות אין אינטרס ליישם את הרגולציה.

זה כמובן משאיר את הנתונים הפדרליים, כולל אלו של אזרחי ארה"ב, חשופים. מציאות זו גם מעלה את השאלה למה למקד את הדיון הציבורי בפתרונות הגנה בסייבר. למה להתקין מערכת אזעקה כאשר אף אחד לא מפעיל אותה ועוד משאירים את הדלת פתוחה. 

לעומת המגזר הפדרלי, בזה הביטחוני המצב יותר מבוקר. ככה לפחות טוענים ב-DISA, הסוכנות למערכות מידע במערכת הביטחון של ארה"ב. DISA מציעה כיום ללקוחותיה שלושה ספקי ענן מוסמכים, ויש עוד שבעה תחת הערכה לעמידה בתקן האבטחה FedRAMP, כך מסרו גורמים בכירים בסוכנות לאתר Nextgov.

הסמכת FedRAMP שואפת להאיץ את האימוץ של פריסות ענן בממשלה על ידי מתן אישור אבטחת מידע פעם אחת לשירות, ולאחר מכן פריסתו במספר רב של סוכנויות. סוכנויות נדרשות לעמוד בFedRAMP כעניין של מדיניות פדרלית. אבל כפי שצוין בסקירה האחרונה של מועצת המפקחים ליושרה ויעילות (PDF), לא משרד תכנית FedRAMP ולא Joint Authorization Board - גוף המורכב ממנהלי מערכות המידע של שירותי המנהל הכללי ומחלקות ביטחון ובטחון הפנים - יכולים לכפות על סוכנויות לעמוד ב-FedRAMP.

הדו"ח זיהה 348 ​​חוזי ענן מסחריים פדרליים בשווי של 12 מליארדי דולרים בשנת 2014 הפיסקלית. אבל הוא לא הצליח לזהות סוכנויות ספציפיות שלא הצליחו לעמוד בדרישות ההסמכה.

"מאחר ואין עונש על חוסר היענות [להסמכה] ואין שום גוף שלטוני יחיד לאכיפת ההסמכה, אין לסוכנויות [הביטחון] תמריץ לעמוד בזמן בדרישות FedRAMP. לכן, הן לא תכננו במידה מספקת את לוחות הזמנים על מנת לעמוד ביעד התכנית, 5 ביוני 2014", נכתב בדו"ח. "לבסוף, רוב הסוכנויות שנבדקו בדו"ח התקשו לדווח באופן מדויק את מגוון מערכות הענן הנמצאות בשימוש על ידן, בשל כשל של הסוכנויות וחוסר העקביות ביישום הגדרות ענן".

הדו"ח קובע כי: "בהתבסס על הממצאים בדו"ח, אף אחת מ-19 הסוכנויות המשתתפות בו, אינה מיישמת בקרה נאותה לניהול ספקי שירות ענן (CSP) והנתונים הנמצאים במערכות הענן שלה. זה חושף את הנתונים הפדרליים למקרה של אובדן או חשיפה לגורמים לא מורשים, ועלול לסכן גם התכנית הפדרלית והנתונים אישיים.

"יתר על כן, דגימה של 42 חוזים (מתוך 348) בהיקף של כ-317 מיליוני דולרים חשפה כי הסוכנויות לא הצליחו לציין כיצד הן מודדות את ביצועי ספקי הענן, את הדיווחים שלהם או את הליכי הניטור שלהם. בגלל זה, הסוכנויות אינן יכולות להבטיח שספקי הענן עומדים ברמות שירות הולמות. ממצאים אלו מגבירים את הסיכון כי סוכנויות הביטחון יכולות לבזבז את כספי הממשלה בצורה לא נכונה או לא יעילה".

מארק אורנדורף, מנהל הבטחת משימה ב-DISA, אמר כי שלושה שירותי ענן מסחריים זמינים כעת למשתמשי משרד ההגנה: Autonomic Resources, CGI Federal ו-Amazon Web Services [שגם זכתה במכרז לאספקת ענן פרטי ל-CIA].

הסמכות FedRAMP מספקים כמו Hewlett-Packard, לוקהיד מרטין, AT & T, Akamai, Microsoft, Oracle ופתרון ענן המוצע על ידי משרד החקלאות נמצאות בעיצומן, הוא אמר.  DISA ממשיכה לעבוד עם ספקי ענן ותכנית FedRAMP כדי להוסיף לרשימה ספקי ענן שאושרו, הוסיף אורנדורף.

שירותי ענן עסקיים למשתמשים צבאיים חייבים לעבור בקרות אבטחה נוספות כדי לקבל אישור זמני לפעול, אמר אורנדורף. הוא קרא לבקרות הנוספות "ערכת של FedRAMP". רוג'ר גניוול, מנהל ביטחון שדה ב-DISA, אמר כי מסגרת ניהול הסיכונים של הסוכנות בנויה על אותם סטנדרטיים כמו של התכנית הממשלתית.

"ככזו, אנו ממנפים את האישור והמידע מFedRAMP בתהליכים שלנו, ואנו מחויבים להתמיד ולשפר בכל ההיבטים את השימוש המאובטח בשירותי ענן", הוא הוסיף. ב-DISA אומרים כי שירות הדואר האלקטרוני הארגוני שהיא מציעה, שהושק בינואר 2011, הקדים את תקני אבטחת FedRAMP, אבל הוא עומד בסטנדרטים של משרד הביטחון.

DISA מספקת כעת דואר אלקטרוני ליותר מ -1.6 מיליון משתמשים, ובכלל זה פיקוד הדרום של צבא ארה"ב, פיקוד אירופה, פיקוד אפריקה וותר מ -20 ישויות ביטחוניות אחרות. המערכת ניתנת להרחבה ל -4.5 מיליון משתמשים.

אורנדורף גם אמר שDISA מפעילה שירות דואר ממותג, milCloud, כאופציית תשתית-כשירות, זמינה ברשתות מסווגות ובלתי מסווגות. השירות ממנף את תוכנת הוירטואליזציה של שולחן עבודה של VMware שנקראת חבילת vCloud ו- HP Cloud Service Automation.

DISA ביקשה לאחרונה מספקים לבוא עם הצעות עד ה-3 בנובמבר לשני דגמי חומרה, על מנת לספק לה שירותי מחשוב ענן נוספים - מערכת מכולה (דאטה סנטר נייד במכולה) שיכולה להתחבר למרכז נתונים של DISA או מערכת מבוססת על ארון בחכירה שניתן להציב בשטח רצפה בתוך מרכז הנתונים.

You might be interested also