รายงานชุดความเสี่ยงสูงชุดใหม่จากสำนักงานความรับผิดชอบของรัฐบาลทำให้รัฐบาลกลางต้องจัดการกับการขาดการดำเนินการเกี่ยวกับปัญหาความปลอดภัยทางไซเบอร์ รายงานระบุว่า ตั้งแต่ปี 2010 หน่วยงานต่างๆ ยังไม่ได้ออกกฎหมายหนึ่งในสามจาก 3,000 มาตรการที่ GAO ได้แนะนำเพื่อปรับปรุงท่าทีทางไซเบอร์ของรัฐบาล รายงานยังกล่าวถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่สำคัญ 4 ประการ และหน่วยงานดำเนินการ 10 หน่วยงานสามารถดำเนินการเพื่อแก้ไขปัญหาดังกล่าวได้
ความท้าทายหลักสี่ประการที่ระบุโดย GAO ในรายงานวันที่ 6 กันยายน ได้แก่:
การกำหนดกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่ครอบคลุมและการกำกับดูแลที่มีประสิทธิภาพ
การรักษาความปลอดภัยระบบและข้อมูลของรัฐบาลกลาง
การปกป้องโครงสร้างพื้นฐานที่สำคัญทางไซเบอร์ และ
ปกป้องความเป็นส่วนตัวและข้อมูลที่สำคัญ
จากนั้นรายงานจะลงรายละเอียดเกี่ยวกับวิธีแก้ไขปัญหาเหล่านี้ รวมถึงการดำเนินการต่างๆ เช่น “พัฒนาและดำเนินกลยุทธ์ของรัฐบาลกลางที่ครอบคลุมมากขึ้นสำหรับความปลอดภัยทางไซเบอร์ระดับชาติและไซเบอร์สเปซทั่วโลก” และ “ลดความเสี่ยงของห่วงโซ่อุปทานทั่วโลก”
ยังไม่ชัดเจนว่านี่จะเป็นแรงผลักดันที่หน่วยงานรัฐบาลกลางจำเป็นต้องให้ความสำคัญหรือไม่ แต่จริงๆ แล้วสภาคองเกรสอาจนำหน้าเกม
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network: คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
เมื่อสัปดาห์ที่แล้ว สภาได้ผ่านร่างกฎหมาย 4 ฉบับที่กล่าวถึงประเด็นเดียวกันกับรายงานของ GAO
พระราชบัญญัติการป้องปรามและตอบสนองทางไซเบอร์
ฝ่ายนิติบัญญัติเช่น Sens. Mark Warner (D-Va.), Tim Kaine (D-Va.), Angus King (I-Maine), Mike Rounds (RS.D.), Rep. Dan Donovan (RN.Y.) และ จอห์น แมคเคนผู้ล่วงลับเมื่อเร็วๆ นี้ ได้ก่อกวนเกี่ยวกับหลักคำสอนทางไซเบอร์มานานแล้ว ซึ่งเป็นแนวปฏิบัติเกี่ยวกับการโจมตีทางไซเบอร์
พระราชบัญญัติการป้องปรามและตอบสนองทางไซเบอร์ปี 2018ไม่ได้มาตรฐานดังกล่าวมากนัก และไม่ใช่ “กลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่ครอบคลุม” แต่มันเป็นขั้นตอนในทิศทางนั้น
มันเกี่ยวข้องเฉพาะกับ “กิจกรรมทางไซเบอร์ที่สนับสนุนโดยรัฐ” แต่ในการทำเช่นนั้น มันจะวางเกณฑ์พื้นฐานสำหรับสิ่งที่ควรได้รับการพิจารณาว่าเป็นภัยคุกคามทางไซเบอร์ ซึ่งรวมถึงการกระทำต่างๆ ตั้งแต่การรบกวนคอมพิวเตอร์หรือเครือข่าย ไปจนถึง “ทำให้เกิดการยักยอกเงินจำนวนมาก” ไปจนถึงการแทรกแซงโครงสร้างพื้นฐานที่สำคัญ ซึ่งอาจส่งผลหรือส่งผลให้เกิด “ภัยคุกคามที่สำคัญต่อความมั่นคงของชาติ นโยบายต่างประเทศ หรือเศรษฐกิจ สุขภาพหรือความมั่นคงทางการเงิน” ของประเทศ
ร่างกฎหมายยังกำหนดบทลงโทษเฉพาะที่อาจเกิดจากภัยคุกคามดังกล่าว และกำหนดให้ประธานาธิบดีต้องบังคับใช้อย่างน้อยหนึ่งบทลงโทษ
การรักษาความปลอดภัยพระราชบัญญัติห่วงโซ่อุปทานความมั่นคงแห่งมาตุภูมิ
การลดความเสี่ยงของห่วงโซ่อุปทานทั่วโลกเป็นหนึ่งในการดำเนินการ 10 ประการที่ GAO แนะนำ ซึ่งการดำเนินการนี้มุ่งเน้นไปที่การกำหนดกลยุทธ์ความปลอดภัยทางไซเบอร์โดยเฉพาะ
“การพึ่งพาห่วงโซ่อุปทานไอทีทั่วโลกที่ซับซ้อนทำให้เกิดความเสี่ยงหลายประการต่อหน่วยงานของรัฐบาลกลาง รวมถึงการแทรกของปลอม การปลอมแปลง หรือการติดตั้งซอฟต์แวร์หรือฮาร์ดแวร์ที่เป็นอันตราย” รายงานระบุ
เมื่อพิจารณาว่าแผนกความมั่นคงแห่งมาตุภูมิมีหน้าที่หลักในการรักษาความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง จึงน่าจะเป็นจุดเริ่มต้นที่ดี พระราชบัญญัติการรักษาความปลอดภัยห่วงโซ่อุปทานแห่งมาตุภูมิจะทำเช่นนั้นร่างกฎหมายจะให้อำนาจ DHS ในการจำกัดข้อมูลที่เปิดเผยต่อผู้ขายบางราย หรือแยกพวกเขาออกจากกระบวนการจัดซื้อทั้งหมด หากพวกเขาพิจารณาแล้วว่ามีความเสี่ยงต่อห่วงโซ่อุปทานของ DHS หัวหน้าเจ้าหน้าที่จัดซื้อและหัวหน้าเจ้าหน้าที่ข้อมูลจะช่วยเลขานุการ DHS ในการพิจารณาว่าผู้ขายรายใดมีความเสี่ยงดังกล่าว
DHS จะต้องแจ้งให้ผู้ขายทราบเท่าที่การพิจารณาด้านความมั่นคงแห่งชาติและการบังคับใช้กฎหมายอนุญาต และให้เวลา 30 วันในการโต้แย้งกรณีของพวกเขา DHS จะต้องแจ้งให้รัฐสภา สำนักงานการจัดการและงบประมาณ และหน่วยงานรัฐบาลกลางอื่นๆ ทราบด้วย
กฎหมายว่าด้วยการวินิจฉัยและบรรเทาผลกระทบด้านความปลอดภัยทางไซเบอร์ขั้นสูง
ใบเรียกเก็บเงินนี้จะประมวลโปรแกรมการวินิจฉัยและบรรเทาผลกระทบอย่างต่อเนื่องของ DHS ซึ่งเริ่มใช้ในปี 2555 ส่วนใหญ่จะไม่เปลี่ยนแปลงโปรแกรม แต่จะเพิ่มข้อกำหนดบางประการ