據GOVCIO報道，美國退伍軍人事務部(VA)正在尋求大規模的網絡安全改革，使其整體的IT系統更加符合當代網絡安全的標準，滿足白宮制定的目標，應對不斷變化的網絡威脅形勢。

為此，VA要求在2023財年增加超過1億美元的網絡安全預算，為更廣泛領域的網絡安全改革計劃提供更多的資金，并且將特別關注實施零信任預防措施和安全體系。

這也是美國推動更廣泛的零信任措施實施的一部分，防止出現類似2021年SolarWinds攻擊事件中的大規模溢出漏洞，減輕日益增長的勒索軟件攻擊威脅。

事實上，VA一直面臨這日益嚴峻的勒索軟件攻擊，勒索組織也將越來越多的精力集中在衛生部門的IT系統和醫院網絡中。一旦這些系統遭到勒索攻擊，必然會導致醫院無法運轉，勢必會給患者的生命帶來嚴重的危險，因此醫院在面臨勒索攻擊時更容易妥協。

在SolarWinds 黑客事件后，拜登政府在2021年5月發布了關于改善國家網絡安全的行政命令。俄羅斯政府支持的惡意攻擊者在這起事件中獲得了美國政府內各種服務器的訪問權限，攻擊行為數月未被發現，他們利用各種形式的溢出破壞和互聯訪問持續擴大滲透范圍。

事后，拜登政府已經從專注于外圍安全轉向基于身份和訪問憑證的保護，旨在限制系統破壞造成的損害并防止攻擊者更深入地滲透到組織的網絡中。

目前，VA官員已經討論了在機構內部和政府之間實施更廣泛的零信任安全的必要性，企業安全架構總監Royce Allen指出，在當前的威脅環境下，依舊遵守舊的網絡安全模型是不明智的。

他表示，“我們必須專注于連續統一的實踐，驗證關于數據使用和我們的設備的身份、授權和認證。這就是我們做我們所做的事情以及為什么零信任至關重要的原因。”

此次VA網絡安全系統改革重點放在快速現代化的健康IT系統，新發布的預算文件概述了“現代化VHA的醫療設備，同時提高其安全性、網絡安全性和與VA的電子健康記錄 (EHR) 的兼容性，需要深思熟慮的系統工程和廣泛的跨VA業務線和VHA臨床項目的合作。”

這包括保護該機構現代化電子健康記錄系統中包含的醫療設備和患者信息的措施，該系統目前正處于第一波現場部署階段。

設備安全也是預算資金分配的一個重點方向，預算文件顯示“VA目前正在使用的，為退伍軍人提供醫療保健的離散醫療設備已經達到上百萬臺，其中有109028個醫療設備/臨床系統在 VA信息技術網絡上進行通信，VHA-342 醫療服務必須進行特殊管理和定期更新，以應對已知和新出現的網絡安全風險。”

還有近1300萬美元的預算被用于隱私和記錄管理。VA已要求為CRISP(信息安全保護持續準備)業務增加 1300萬美元，“旨在降低VA計劃和系統中的系統性信息安全風險，以遵守美國聯邦安全和隱私法規。” 和2022財年相比，CRISP預算增加了近 25%，2023財年總的預算資金達到6000萬美元。

值得注意的是，VA網絡安全預算要求對整體信息安全運營進行大幅度增加，其金額為4300萬美元，占2023財年總增幅接近一半，其中相當多的一部分將用于零信任安全改革，屬于VA特別強調的“新興準備計劃”的內容。

VA的預算文件概述了“這種新安全態勢的適應和實施為解決VA的系統缺陷(例如企業安全治理、基礎能力差距、缺乏數據和身份治理)提供了一種強大的戰略方法，并引發了現有VA安全資源的模式轉變，從當前的合規心態轉變為假設違規并首先采用零信任安全的心態。”

參考來源：https://governmentciomedia.com/va-requests-over-100-million-increase-cybersecurity-budget