CISA приказало агентствам срочно исправить сотни эксплуатируемых хакерами уязвимостей

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) США выпустило первую в нынешнем году обязательную операционную директиву (binding operational directive, BOD), предписывающую федеральным гражданским агентствам в жесткие сроки исправить уязвимости, используемые киберпреступниками в ходе атак.

Новая директива BOD 22-01 Reducing the Significant Risk of Known Exploited Vulnerabilities («Снижение значительного риска известных эксплуатируемых уязвимостей») распространяется как на программное обеспечение, так и на оборудование в федеральных информационных системах с и без выхода в интернет, включая те, которые управляются федеральными агентствами или третьими сторонами от имени агентства.

«Это большой шаг вперед в защите федеральных гражданских сетей. Обязательная операционная директива (BOD) 22-01 устанавливает временные рамки для устранения известных эксплуатируемых уязвимостей», — сообщила директор CISA Джен Истерли (Jen Easterly).

CISA опубликовало список сотен эксплуатируемых уязвимостей, которые подвергают государственные системы значительным рискам атак в случае их успешного использования злоумышленниками.

В настоящее время список включает 200 уязвимостей, выявленных в период с 2017 года по 2020 год, и 90 уязвимостей, обнаруженных в 2021 году. CISA регулярно обновляет список новыми обнаруженными уязвимостями, если они соответствуют следующим условиям:

• Уязвимости присвоен идентификатор Common Vulnerabilities and Exposures (CVE).

• Есть достоверные доказательства эксплуатации в ходе кибератак.

• Существует четкое действие по исправлению уязвимости, например обновление, предоставленное поставщиком.

CISA приказало федеральным агентствам пересмотреть и обновить свои внутренние программы кибербезопасности в течение 60 дней с момента публикации директивы. Агентства также должны будут предоставлять ежеквартальные отчеты о статусе исправлений уязвимостей через порталы CyberScope или CDM Federal Dashboard.