กระทรวงพาณิชย์ต้องการแก้ไขจุดอ่อนทางไซเบอร์ที่เห็นได้ชัด ขาดความสามารถในการรายงานความปลอดภัยทางไซเบอร์แบบรวมศูนย์ทั่วทั้งองค์กรในคอมพิวเตอร์ 90,000 เครื่องหน่วยงานออกคำขอข้อมูลเมื่อวันที่ 15 มกราคมโดยขอให้ผู้ขายอธิบายความสามารถใน 11 ด้านและค่าใช้จ่ายสำหรับบริการไซเบอร์ที่มีการจัดการRFI ระบุว่าความสามารถดังกล่าวจะ “ให้การรับรู้ถึงสถานการณ์ในระดับแผนก ภาพการทำงานทั่วไปเพียงภาพเดียวของการรักษาความปลอดภัยสำหรับระบบของแผนก
การแก้ไขและการตอบสนอง และฟังก์ชันส่วนกลางอื่นๆ
ที่จำเป็นในการตรวจสอบและจัดการท่าทางการรักษาความปลอดภัยทางไซเบอร์ของแผนก”
ผู้ตรวจการทั่วไปของกระทรวงพาณิชย์รายงานเมื่อเดือนพฤศจิกายนว่าหนึ่งในความท้าทายด้านการจัดการระดับสูงของหน่วยงานคือการเสริมสร้างความปลอดภัยและการลงทุนในไอที
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
“ในช่วงหลายปีที่ผ่านมา เราตรวจพบข้อบกพร่องที่สำคัญซ้ำแล้วซ้ำเล่าในมาตรการรักษาความปลอดภัยขั้นพื้นฐานที่ปกป้องระบบไอทีและข้อมูล” รายงาน IG ระบุ “เราได้เรียกร้องความสนใจอย่างต่อเนื่องและมุ่งมั่นมากขึ้นจากผู้บริหารระดับสูงของแผนกต่อแนวทางปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน ซึ่งหากมีการนำไปใช้อย่างเหมาะสม จะสามารถลดหรือหยุดการโจมตีทางไซเบอร์ได้อย่างมีประสิทธิภาพก่อนที่จะเกิดการประนีประนอมร้ายแรง เพื่อตอบสนองต่อคำแนะนำในปีงบประมาณ 2010 และ 2011 แผนกได้อัปเดตนโยบายความปลอดภัยด้านไอทีสำหรับการสแกนช่องโหว่ การกำหนดค่าที่ปลอดภัย และการจัดการแผนปฏิบัติการและเหตุการณ์สำคัญ อย่างไรก็ตาม แผนกจำเป็นต้องบังคับใช้นโยบายเหล่านี้ เนื่องจากเรายังคงพบจุดอ่อนด้านความปลอดภัยที่คล้ายคลึงกันในระบบของทั้งแผนกและระบบสำนักงาน”
ตัวอย่างเช่น Commerce’s Economic Development Administration ประสบกับการโจมตีทางไซเบอร์ที่ปิดเครือข่ายเมื่อเดือนกุมภาพันธ์ที่ผ่านมา
Commerce RFI แม้ว่าจะไม่ได้กล่าวถึงรายงานของ IG
แต่จะช่วยจัดการกับความท้าทายเหล่านั้นได้ตัวอย่างเช่น Commerce ต้องการรายละเอียดจากผู้ขายว่าจะรวบรวมและรวมข้อมูลสถานะความปลอดภัยของเครือข่ายจากหลายเครือข่ายที่แตกต่างกันใน 14 หน่วยงานได้อย่างไร และตรวจจับการบุกรุกเครือข่าย มัลแวร์ และช่องโหว่อื่นๆ และแนะนำคำแนะนำในการบรรเทาผลกระทบ
Commerce กล่าวใน RFI ว่ากลยุทธ์การเข้าซื้อกิจการยังอยู่ระหว่างการพัฒนา แต่จะ “พิจารณาตัวเลือกเทคโนโลยีคลาวด์ที่ปลอดภัย เชื่อถือได้ และคุ้มค่าสำหรับบริการความปลอดภัยที่มีการจัดการนี้” ภายใต้โครงการ Federal Risk and Authorization Management Program (FedRAMP)
การตอบกลับไปยัง RFI มีกำหนดส่งในวันที่ 31 มกราคม
แผนกความมั่นคงแห่งมาตุภูมิในเดือนธันวาคมได้ออก RFQสำหรับการตรวจสอบอย่างต่อเนื่องซึ่งจะให้บริการเหล่านี้จำนวนมากRobert Lentz กล่าวว่า “การนำระบบการจัดการตัวตนระดับโลกมาใช้ ช่วยให้ JTF-GNO ยืนหยัดได้ จัดทำโปรแกรมการฝึกอบรมและการรับรองเป็นครั้งแรกเพื่อจัดการกับความท้าทายที่น่ากลัวของการศึกษาเพื่อจัดการกับปัญหาทางไซเบอร์ ล้วนเป็นเหตุการณ์สำคัญทั้งหมด” Robert Lentz กล่าว ซึ่งทำหน้าที่เป็นหัวหน้าเจ้าหน้าที่ประกันข้อมูลของ DoD ในขณะนั้น และตอนนี้เป็นหัวหน้าบริษัทที่ปรึกษา Cyber Security Strategies ของเขาเอง “เราออกนโยบายมากมาย และเราอาจถูกวิจารณ์ว่าออกนโยบายมากมาย แต่ตอนนั้นไม่มีเลย เราต้องทำให้เสร็จก่อน เนื่องจากความจริงที่ว่าในครัวมีพ่อครัวไม่มากนัก เราจึงสามารถรวบรวมการตัดสินใจที่แปลกใหม่และกลยุทธ์ต่างๆ ที่จำเป็นในการผลักดันธุรกิจไปข้างหน้า”
ผลพวงจากการโจมตี SIPRNet
DoD ตระหนักว่าต้องเดินหน้าต่อไปเมื่อในปี 2551 เครือข่ายอินเทอร์เน็ตโปรโตคอลลับ (SIPRNet) ถูกโจมตีด้วยมัลแวร์ผ่านธัมบ์ไดรฟ์ USB ที่ติดไวรัส อีกหนึ่งปีต่อมา โรเบิร์ต เกตส์ ซึ่งขณะนั้นดำรงตำแหน่งรัฐมนตรีกลาโหม ได้ลงนามในคำสั่งจัดตั้งกองบัญชาการไซเบอร์สหรัฐ ซึ่งเป็นกองบัญชาการทางทหารระดับ 4 ดาวที่ออกแบบมาเพื่อประสานกิจกรรมทางไซเบอร์ทั้งหมดของกองทัพไว้ในที่เดียวกัน
