美国VA增加超1亿的网络安全预算，着重落地零信任

据GOVCIO报道，美国退伍军人事务部（VA）正在寻求大规模的网络安全改革，使其整体的IT系统更加符合当代网络安全的标准，满足白宫制定的目标，应对不断变化的网络威胁形势。

为此，VA要求在2023财年增加超过1亿美元的网络安全预算，为更广泛领域的网络安全改革计划提供更多的资金，并且将特别关注实施零信任预防措施和安全体系。

这也是美国推动更广泛的零信任措施实施的一部分，防止出现类似2021年SolarWinds攻击事件中的大规模溢出漏洞，减轻日益增长的勒索软件攻击威胁。

事实上，VA一直面临这日益严峻的勒索软件攻击，勒索组织也将越来越多的精力集中在卫生部门的IT系统和医院网络中。一旦这些系统遭到勒索攻击，必然会导致医院无法运转，势必会给患者的生命带来严重的危险，因此医院在面临勒索攻击时更容易妥协。

在SolarWinds 黑客事件后，拜登政府在2021年5月发布了关于改善国家网络安全的行政命令。俄罗斯政府支持的恶意攻击者在这起事件中获得了美国政府内各种服务器的访问权限，攻击行为数月未被发现，他们利用各种形式的溢出破坏和互联访问持续扩大渗透范围。

事后，拜登政府已经从专注于外围安全转向基于身份和访问凭证的保护，旨在限制系统破坏造成的损害并防止攻击者更深入地渗透到组织的网络中。

目前，VA官员已经讨论了在机构内部和政府之间实施更广泛的零信任安全的必要性，企业安全架构总监Royce Allen指出，在当前的威胁环境下，依旧遵守旧的网络安全模型是不明智的。

他表示，“我们必须专注于连续统一的实践，验证关于数据使用和我们的设备的身份、授权和认证。这就是我们做我们所做的事情以及为什么零信任至关重要的原因。”

此次VA网络安全系统改革重点放在快速现代化的健康IT系统，新发布的预算文件概述了“现代化VHA的医疗设备，同时提高其安全性、网络安全性和与VA的电子健康记录 (EHR) 的兼容性，需要深思熟虑的系统工程和广泛的跨VA业务线和VHA临床项目的合作。”

这包括保护该机构现代化电子健康记录系统中包含的医疗设备和患者信息的措施，该系统目前正处于第一波现场部署阶段。

设备安全也是预算资金分配的一个重点方向，预算文件显示“VA目前正在使用的，为退伍军人提供医疗保健的离散医疗设备已经达到上百万台，其中有109028个医疗设备/临床系统在 VA信息技术网络上进行通信，VHA-342 医疗服务必须进行特殊管理和定期更新，以应对已知和新出现的网络安全风险。”

还有近1300万美元的预算被用于隐私和记录管理。VA已要求为CRISP（信息安全保护持续准备）业务增加 1300万美元，“旨在降低VA计划和系统中的系统性信息安全风险，以遵守美国联邦安全和隐私法规。” 和2022财年相比，CRISP预算增加了近 25%，2023财年总的预算资金达到6000万美元。

值得注意的是，VA网络安全预算要求对整体信息安全运营进行大幅度增加，其金额为4300万美元，占2023财年总增幅接近一半，其中相当多的一部分将用于零信任安全改革，属于VA特别强调的“新兴准备计划”的内容。

VA的预算文件概述了“这种新安全态势的适应和实施为解决VA的系统缺陷（例如企业安全治理、基础能力差距、缺乏数据和身份治理）提供了一种强大的战略方法，并引发了现有VA安全资源的模式转变，从当前的合规心态转变为假设违规并首先采用零信任安全的心态。”

参考来源

https://governmentciomedia.com/va-requests-over-100-million-increase-cybersecurity-budget