De amerikanske myndigheder skal nu øge sikkerheden på deres cloudløsninger, heriblandt Microsoft 365.
Det fremgår af et nyt direktiv med en række minimumstandarder, som det amerikanske svar på Center for Cybersikkerhed, CISA, har udstedt.
Målet med tiltaget er ifølge mediet BleepingComputer at reducere angrebsfladerne på de statslige netværk.
Google-standarder på vej
Indtil videre har CISA kun udarbejdet nye sikkerhedsstandarder for Microsoft 365, men der er også nye standarder på vej til Google Workspace og andre cloud-platforme.
Direktivet stiller mere konkret krav om, at der implementeres automatiserede værktøjer, der er integreret med cybersikkerhedsmyndighedens fortsatte overvågning af infrastrukturen.
“De seneste cybersikkerhedshændelser understreger, at der er betydelige risici forbundet med fejlagtige konfigurationer og svage sikkerhedsprotokoller, som kan udnyttes af angribende parter til at få uautoriseret adgang, stjæle data eller forstyrre driften af tjenesterne,” oplyser CISA.
Her er de fem krav
Det fremgår af direktivet, at CISA stiller krav om, at føderale myndigheder skal gennemføre følgende handlinger:
1. Identificere alle cloud-miljøer, der er omfattet af dette direktiv, senest fredag 21. februar 2025.
2. Implementere alle SCuBA (Secure Cloud Applications, red)-vurderingsværktøjer for de relevante cloud-miljøer senest fredag 25. april 2025 samt påbegynde kontinuerlig rapportering i henhold til direktivets krav.
3. Implementere alle obligatoriske SCuBA-politikker, der træder i kraft ved direktivets udstedelse, senest fredag 20. juni 2025.
4. Implementere alle fremtidige opdateringer til obligatoriske SCuBA-politikker.
5. Implementere alle obligatoriske SCuBA-konfigurationsbaselines og påbegynde kontinuerlig overvågning for nye cloud-miljøer, inden der gives autorisation til drift.
