ก่อน รายงาน คณะกรรมาธิการและหน่วยเฉพาะกิจ 15 ฉบับ ก่อนคำแนะนำรวม 175 ฉบับ ทอม บอสเซิร์ต ผู้ช่วยประธานาธิบดีโดนัลด์ ทรัมป์ ในเรื่องความมั่นคงแห่งมาตุภูมิและการต่อต้านการก่อการร้าย มีลำดับความสำคัญจำนวนหนึ่งในใจว่าฝ่ายบริหารชุดใหม่ควรเข้าถึงความปลอดภัยทางไซเบอร์อย่างไร
เมื่อปรากฎว่า ทุกคนที่ทำงานเพื่อให้คำแนะนำแก่ฝ่ายบริหารชุดใหม่ต่างก็อยู่ในหน้าเดียวกัน และแนวคิดดังกล่าวคือการตรวจสอบความถูกต้องของสิ่งที่อาจลงเอยด้วยคำสั่งผู้บริหารในโลกไซเบอร์
“ลำดับความสำคัญเหล่านั้นเริ่มต้นด้วยสิ่งที่เราสามารถ
ควบคุมได้มากที่สุดและตรงที่สุด” Bossert กล่าวเมื่อวันที่ 15 มีนาคมระหว่างงาน Cyber Disrupt 2017 ที่ศูนย์ยุทธศาสตร์และการศึกษาระหว่างประเทศ “สิ่งที่ประธานาธิบดีทรัมป์และผมควบคุมได้โดยตรงที่สุดคือเครือข่ายของรัฐบาลกลางและข้อมูลของพวกเขา เครือข่ายและข้อมูลของรัฐบาลกลางเป็นสิ่งสำคัญอันดับแรกสำหรับเรา ลำดับความสำคัญที่สอง … คือโครงสร้างพื้นฐานที่สำคัญ แต่ไม่ใช่โครงสร้างพื้นฐานที่สำคัญทั้งหมดจะมีความสำคัญเท่ากัน ดังนั้นเราจะมุ่งเน้นไปที่สิ่งที่สำคัญที่สุดในสิ่งเหล่านั้น เราจำเป็นต้องจัดการกับแนวคิดเรื่องความมั่นคงของประเทศและชาวอเมริกันของเรา ความปลอดภัยทางไซเบอร์เป็นพื้นที่ที่เราพูดถึงค่อนข้างน้อย แต่เรายังไม่ได้จริงจังกับกลยุทธ์การยับยั้งอย่างจริงจัง”
เมื่อพูดถึงเครือข่ายของรัฐบาลกลาง Bossert ให้ความสำคัญกับการปรับปรุงไอทีให้ทันสมัยว่า “สำคัญอย่างยิ่ง”
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้า
ที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
“เราจะดำเนินการตามนั้น” บอสเสิร์ตกล่าว “คุณจะเห็นรายละเอียดในอีกไม่กี่สัปดาห์และหลายเดือนข้างหน้าว่าเราจะดำเนินการตามนั้นอย่างไร ไม่ใช่เรื่องง่าย แต่เราไม่สามารถปกป้องเครือข่ายที่ป้องกันไม่ได้อีกต่อไป”
ด้วยป้ายราคาประมาณ 90 พันล้านเหรียญสหรัฐ อย่าคาดหวังว่าจะได้เห็นการอัปเดตระบบไอทีของรัฐบาลในชั่วข้ามคืนในงบประมาณ “พิมพ์เขียวงบประมาณ” ของทรัมป์มีกำหนดจะออกมาในวันที่ 15 มีนาคม และ Bossert กล่าวว่าจะสะท้อนมุมมองของประธานาธิบดีที่ว่า “เราต้องการความพร้อมด้านกลาโหมที่มากขึ้น แต่ก็ต้องรักษาความปลอดภัยที่มากขึ้นด้วย”
“ความปลอดภัยทางไซเบอร์เป็นส่วนหนึ่งของคำของบประมาณของเขา” บอสเสิร์ตกล่าว และเสริมว่าจะได้รับการสนับสนุนภายใต้การใช้จ่ายด้านการป้องกันและความมั่นคงแห่งมาตุภูมิ
Bossert กล่าวว่า การเริ่มต้นจากจุดที่ความปลอดภัยในโลกไซเบอร์ของรัฐบาลกลางอยู่ในขณะนี้ เครือข่ายที่ได้รับการปรับปรุงให้ทันสมัยอย่างสมบูรณ์จะต้องใช้เงินและเวลา และสิ่งที่เกิดขึ้นระหว่างนี้และหลังจากนั้นก็มีความสำคัญพอๆ การบริหารความเสี่ยง
“ในขณะที่เราประเมินความเสี่ยง ซึ่งไม่ใช่แค่หน้าที่ในการกำหนดให้แผนกและหน่วยงานต่างๆ รายงานกิจกรรมการจัดการความเสี่ยงให้เราทราบเท่านั้น แต่ยังเป็นหน้าที่ของหน่วยงานเหล่านั้นที่รายงานให้เราทราบถึงความเสี่ยงที่พวกเขารับทราบและไม่ได้บรรเทาลง ” บอสเสิร์ตกล่าว “นั่นเป็นสิ่งที่เราไม่เคยทำมาก่อน การรายงานความเสี่ยงที่ทราบและยังไม่ได้รับการบรรเทาจะเป็นข้อกำหนดในอนาคต”
Bossert กล่าวพร้อมกับมุ่งเน้นไปที่การปรับปรุงให้ทันสมัยและการจัดการความเสี่ยง ฝ่ายบริหารจะผลักดันให้มีการนำกรอบ NIST มาใช้ และจะกำหนดตัวชี้วัดสำหรับหน่วยงานและหัวหน้าคณะรัฐมนตรีเพื่อวัดความก้าวหน้า
“มาตรวัดเหล่านั้น … จะเป็นสิ่งที่เรารู้เมื่อเราเห็น” บอสเซิร์ตกล่าว พร้อมเสริมว่าน่าจะเป็นมาตรวัดภายใน
ไม่มีเวลาฝันกลางวัน
สิ่งแรกที่รั่วไหลเกี่ยวกับ EO ทางไซเบอร์คือฝ่ายบริหารจะกำหนดให้หัวหน้าหน่วยงานรับผิดชอบมากขึ้นในการจัดการความเสี่ยงทางไซเบอร์ของหน่วยงานของตน ร่างคำสั่งกำหนดให้ผู้นำระดับสูงของหน่วยงานดำเนินการตามกรอบความปลอดภัยทางไซเบอร์ที่พัฒนาโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ เพื่อวัดและลดความเสี่ยง
อ่านเพิ่มเติม: การจัดการ
อย่างไรก็ตาม ผู้เชี่ยวชาญทางไซเบอร์บางคนกล่าวว่าอาจทำให้การจัดตั้งหัวหน้าหน่วยงานล้มเหลวได้เนื่องจากพวกเขาไม่มีงบประมาณหรือบุคลากรของภาคเอกชนที่จะปฏิบัติตามมาตรฐานทางไซเบอร์ Bossert ยืนยันว่าหัวหน้าหน่วยงานของรัฐบาลกลางจะต้องรับผิดชอบ – เช่นเดียวกับที่พวกเขาได้รับในทศวรรษที่ผ่านมา – สำหรับความปลอดภัยเครือข่ายองค์กรของพวกเขาเอง แต่เขายังกล่าวด้วยว่าบริการที่ใช้ร่วมกันจะเป็นข้อกำหนดพื้นฐานเมื่อต้องเข้าใกล้ความปลอดภัยทางไซเบอร์