Агентство по кибербезопасности и защите инфраструктуры США (CISA) опубликовало обязательную оперативную директиву 26-02 под названием «Снижение рисков, связанных с периферийными устройствами, срок поддержки которых истёк» (EOS). Она распространяется на все гражданские федеральные исполнительные ведомства и агентства.
По мнению представителей CISA, непосредственная опасность при эксплуатации госинформсистем на такой технике «является существенной и постоянной, что представляет собой значительную угрозу для федеральной собственности». Безопасники также отметили, что эту проблему можно устранить, следуя методам управления жизненным циклом, которые изложены в директиве.
Особое внимание уделяется устройствам EOS, развёрнутым на «периферии» или в общедоступных областях федеральных сетей, подверженных воздействию внешней среды (оборудование с истёкшим сроком службы стало привлекательной целью для госструктур, которые всё чаще используют его в качестве точки входа).
Для оказания помощи в выявлении устаревающей техники CISA разработало список — EOS Edge Device List. На его основе федеральные ведомства обязаны найти и устранить уязвимости в течение первых трёх месяцев после издания директивы. Все устройства с датой, истекающей в течение 12 месяцев, должны быть выведены из эксплуатации, о чём после необходимо отчитаться.
Чиновникам даётся 18 месяцев на то, чтобы обнаруженное периферийное оборудование EOS заменить на поддерживаемое поставщиками и получающее актуальные обновления безопасности. Далее, в течение двух лет им следует разработать процесс непрерывного инспектирования своих сред и вести инвентарный список просроченной или устаревшей техники.
Усам Оздемиров
