เหตุการณ์ SolarWinds สามารถกระตุ้นให้เกิดการดำเนินการมากขึ้น พูดน้อยลงเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานหรือไม่?

เหตุการณ์ SolarWinds สามารถกระตุ้นให้เกิดการดำเนินการมากขึ้น พูดน้อยลงเกี่ยวกับความปลอดภัยของห่วงโซ่อุปทานหรือไม่?

การเรียกร้องให้ปกป้องซัพพลายเชนเทคโนโลยีของหน่วยงานไม่ใช่เรื่องใหม่ ย้อนกลับไปในปี 2555 คณะกรรมาธิการการทหารของวุฒิสภาได้เผยแพร่รายงานเปิดหูเปิดตาเกี่ยวกับผลิตภัณฑ์อิเล็กทรอนิกส์ปลอมในกระทรวงกลาโหมเพนตากอนรับทราบปัญหาของปลอมและห่วงโซ่อุปทานย้อนหลังไปหลายทศวรรษ แต่พบว่าชิ้นส่วนเหล่านี้มีความผันผวนอย่างมากและแทรกซึมเข้าไปในระบบความมั่นคงของประเทศตั้งแต่ปี 2548การละเมิดทางไซเบอร์ของ SolarWinds เมื่อเร็ว ๆ นี้ไม่ได้ทำให้เห็นว่าความท้าทายนี้ซับซ้อนเพียงใด แต่ยังจำเป็นต้องหยุดจ้องมองที่ปัญหาและดำเนินการจริง

 ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์

ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม

ในช่วงไม่กี่ปีที่ผ่านมา หน่วยงานต่าง ๆ ได้คิดและวางแผนมากมายด้วยการพัฒนามาตรฐาน Cybersecurity Maturity Model Certification (CMMC) และการจัดตั้ง Federal Acquisition Security Council (FASC) เป็นต้น แต่การเปลี่ยนแปลงที่แท้จริงได้เกิดขึ้นแล้ว ยากที่จะมาด้วย

Jon Boyens รองหัวหน้าแผนกความปลอดภัยคอมพิวเตอร์ของ National Institute of Standards and Technology กล่าวว่ารายงานปี 2018 โดย Ponemon Institute พบว่า 66% ของบริษัทไม่มีสินค้าคงคลังของบุคคลที่สามที่ครอบคลุม รายงานของ Ponemon ในปี 2019 พบว่าต้นทุนเฉลี่ยของการโจมตีห่วงโซ่อุปทานอยู่ที่ 7.5 ล้านดอลลาร์ และมากกว่า 50% ของผู้ตอบแบบสอบถามทั้งหมดรายงานว่ามีการละเมิดในช่วงสองปี

“แม้กระทั่งตอนนี้ เมื่อเราพูดถึงการจัดการความเสี่ยงด้านซัพพลายเชน มันก็เหมือนกับเป็นการกำหนดระดับหนึ่ง มันหมายถึงสิ่งต่าง ๆ สำหรับคนที่แตกต่างกัน บางคนยังไม่เข้าใจความเกี่ยวข้องของมัน หรือพวกเขามองว่าแง่มุมต่างๆ เป็นปฏิปักษ์อย่างมาก” Boyens กล่าวในงานซัพพลายเชนล่าสุดที่สนับสนุนโดย FCW

นี่คือเหตุผลที่หลายคนเชื่อว่าการละเมิดห่วงโซ่อุปทาน

ของ SolarWinds ในที่สุดจะทำให้รัฐบาลและอุตสาหกรรมดำเนินการอย่างเด็ดขาดและรวดเร็วยิ่งขึ้น

ตัวแทน John Katko (RN.Y.) สมาชิกอันดับของคณะกรรมการความมั่นคงแห่งมาตุภูมิ อธิบายถึงความปรารถนาที่จะดำเนินการจริงและไม่ใช่แค่จ้องมองปัญหาในจดหมายวันที่ 19 มกราคมถึง Cybersecurity and Infrastructure Security Agency ในแผนก ของความมั่นคงแห่งมาตุภูมิ

“ฉันยังคงกังวลว่า Federal Acquisition Security Council ยังไม่มีความคืบหน้าอย่างรวดเร็วพอที่จะใช้ความสามารถในการใช้ประโยชน์จากอำนาจหน้าที่ของตนจากกฎหมาย SECURE Technology Act” Katko เขียนถึงรักษาการผู้อำนวยการ CISA Brandon Wales “เราเข้าใจดีว่า CISA กำลังพัฒนากรอบการวิเคราะห์ที่จะช่วยแนะนำว่า FASC จะพิจารณาการตัดสินความเสี่ยงอย่างไร ในฐานะสมาชิกของสภาและหน่วยงานแบ่งปันข้อมูลที่ได้รับมอบหมายของ FASC CISA เป็นหน้าที่ของ CISA เพื่อให้แน่ใจว่าคำแนะนำทั้งหมดคำนึงถึงโอกาสการโจมตีที่หลากหลายในห่วงโซ่อุปทาน การเปิดเผยล่าสุดเกี่ยวกับการรณรงค์ทางไซเบอร์เพื่อต่อต้าน SolarWinds และหน่วยงานอื่น ๆ ได้ตอกย้ำความสำคัญพื้นฐานของซอฟต์แวร์ที่ปลอดภัยสำหรับการจัดการความเสี่ยงด้านห่วงโซ่อุปทานของเทคโนโลยีสารสนเทศและการสื่อสารโดยรวม (ICT)

FASC ยังคงเริ่มต้น

FASC ใช้เวลากว่าสองปีในการสร้าง ประธานาธิบดีโดนัลด์ ทรัมป์ลงนามในกฎหมายว่าด้วยความปลอดภัยในห่วงโซ่อุปทานของการได้มาซึ่งรัฐบาลกลางปี ​​2018 ซึ่งเป็นส่วนหนึ่งของพระราชบัญญัติเทคโนโลยีความปลอดภัย สภาได้สรุปแผนกลยุทธ์กฎบัตร และออกกฎชั่วคราวโดยระบุรายละเอียดว่าจะแบ่งปันข้อมูลความเสี่ยงด้านห่วงโซ่อุปทานอย่างไร และการลบคำแนะนำหรือการยกเว้นผลิตภัณฑ์หรือเทคโนโลยีที่เฉพาะเจาะจง

Katko ขอให้ CISA กำหนดเวลาให้กับคณะกรรมการเพื่อดำเนินการกรอบการแบ่งปันข้อมูลไม่เกินวันที่ 1 กุมภาพันธ์

จดหมายของเขายังแสดงให้เห็นถึงความจำเป็นที่ FASC, CISA และอื่น ๆ อีกมากมายรอบ ๆ รัฐบาลจะต้องดำเนินการอย่างรวดเร็วยิ่งขึ้นเพื่อจัดการกับความท้าทายในห่วงโซ่อุปทาน

รายงาน ของสำนักงานความรับผิดชอบของรัฐบาลในเดือนธันวาคมได้ฉายแสงที่ชัดเจนยิ่งขึ้นเกี่ยวกับประเด็นนี้ในการทำบางสิ่งมากกว่าแค่พูดถึงเรื่องนี้

จากแนวทางปฏิบัติที่ดีที่สุด 7 ประการในการปกป้องห่วงโซ่อุปทานเทคโนโลยี GAO กล่าวว่าหน่วยงานพลเรือน CFO Act เพียงไม่กี่แห่งจาก 23 หน่วยงานได้ดำเนินการดังกล่าว

“[T]เขามีศักยภาพที่จะส่งผลกระทบร้ายแรงต่อการดำเนินงานของหน่วยงาน สินทรัพย์ และพนักงาน อย่างไรก็ตาม หน่วยงานส่วนใหญ่จาก 23 หน่วยงานไม่ได้ดำเนินการใด ๆ จากแนวทางปฏิบัติพื้นฐานที่

credit : shortstoryoflifeandstyle.com
proyectoscpc.net
helendraperyoung.com
riavto.org
partysofa.net
sierracountychamber.net
matsudatoshiko.net
learnlanguagefromluton.net
movabletypo.net
coachfactoryoutletusa.net