ยังสงสัยว่า “New Normal” จะเป็นอย่างไร? ผู้นำทางไซเบอร์ของรัฐบาลกลางกล่าวว่ามันดูแย่มากเหมือนไม่มีความไว้วางใจ – อย่างน้อยก็ในด้านไอทีของสิ่งต่าง ๆคำสั่งผู้บริหารของประธานาธิบดีโจ ไบเดนที่ 14028 ในเดือนพฤษภาคม “การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ” เป็นตัวเร่งปฏิกิริยาสำหรับเอกสาร 3 ฉบับที่จะช่วยให้หน่วยงานต่าง ๆ นำหลักการความปลอดภัยทางไซเบอร์ที่ไม่ไว้วางใจ สำนักงานการจัดการและงบประมาณได้เผยแพร่ร่าง Federal Zero Trust Strategy
เพื่อปรับสถาปัตยกรรมการรักษาความปลอดภัยองค์กรของหน่วยงาน
พลเรือนให้เป็นหลักการไว้วางใจเป็นศูนย์ Eric Mill จาก OMB กล่าวว่าหากเขาต้องเลือกธีมหลักและความพยายามโดยรวมสำหรับโครงการริเริ่มด้านความปลอดภัยต่างๆ ในองค์กร ก็จะเลือกสิ่งนี้
Mill เป็นที่ปรึกษาอาวุโสของผู้ดูแลระบบใน Office of the Federal Chief Information Officer ภายใน Office of E-Government and IT ที่ OMB เขากล่าวว่าฝ่ายบริหารของ Biden กำลังใช้การรับรองความถูกต้องแบบหลายปัจจัยที่แข็งแกร่งขึ้น — โดยเฉพาะอย่างยิ่งเพื่อจัดการกับฟิชชิง — และกำลังผลักดันให้เกิดการเข้ารหัสที่แข็งแกร่งขึ้น
“ไม่ใช่แค่สำหรับทราฟฟิกที่เชื่อมต่อกับภายนอกเท่านั้น แต่ยังใช้แนวคิดของเครือข่ายที่ไม่น่าเชื่อถืออย่างจริงจังที่สุดเท่าที่จะเป็นไปได้และเข้ารหัสทราฟฟิกภายในสภาพแวดล้อมของรัฐบาลกลางโดยระบุเฉพาะสิ่งต่าง ๆ เช่น DNS ที่เข้ารหัสและสิ่งที่คล้ายกัน” เขากล่าวระหว่างการสัมมนาทางเว็บที่จัดโดย ATARC เมื่อวันพฤหัสบดี . นอกจากนี้เขายังกล่าวอีกว่าฝ่ายบริหารกำลังเน้นหนักไปที่การตรวจสอบความปลอดภัยและการปฏิบัติในการทดสอบแอปพลิเคชัน และวางความปลอดภัยไว้ที่ระดับแอปพลิเคชันหากเป็นไปได้ “พิสูจน์ให้ตัวเองเห็นว่าสิ่งต่าง ๆ ปลอดภัยโดยการทุ่มทรัพยากรสาธารณะและภายในให้มากที่สุดเท่าที่จะเป็นไปได้ ”
ข้อมูลเชิงลึกโดย Sumo Logic: ในการสัมมนาทางเว็บฉบับพิเศษ
ของ Ask the CIO เจสัน มิลเลอร์และแขกรับเชิญของเขา เจฟฟ์ ชิลลิงจากสถาบันมะเร็งแห่งชาติและจอร์จ เกอร์โชวแห่งซูโมลอจิกจะเจาะลึกว่าการจัดการข้อมูลและระบบคลาวด์ขับเคลื่อนกลยุทธ์การปรับปรุงไอทีให้ทันสมัยที่ National Cancer ได้อย่างไร สถาบัน.
ได้มีการหารือถึงองค์ประกอบของ EO มาก่อนแล้ว แต่ความพยายามของฝ่ายบริหารในการรวมเข้าด้วยกันในลักษณะที่สอดคล้องกัน โดยดึงส่วนต่างๆ ของรัฐบาลเข้าด้วยกัน ถือเป็นการพัฒนาในเชิงบวก มิลล์กล่าว
นอกจากนี้ Federal Zero Trust Strategy ยังสอดคล้องกับ Zero Trust Maturity Model ซึ่ง Cybersecurity and Infrastructure Security Agency พัฒนาขึ้นจากข้อมูล แอปพลิเคชัน เครือข่าย และข้อมูลประจำตัว โมเดลนี้เปิดให้สาธารณชนแสดงความคิดเห็นได้จนถึงวันพฤหัสบดีที่ 1 ต.ค. นี้
“จำเป็นจริงๆ สำหรับเราที่จะต้องดูว่าเราสามารถสนับสนุนหน่วยงานต่างๆ ได้อย่างไร เมื่อรู้ว่าเราได้ลงทุนอย่างหนักใน [การวินิจฉัยและการบรรเทาผลกระทบอย่างต่อเนื่อง] รวมถึงสิ่งที่เราได้ทำกับ [การเชื่อมต่ออินเทอร์เน็ตที่เชื่อถือได้] และเป็นจริง สามารถจับคู่บริการและความสามารถเหล่านั้นกับวิธีที่เราสามารถรองรับ Zero Trust และวิธีที่หน่วยงานต่างๆ สามารถนำความสามารถที่มีอยู่กลับมาใช้ใหม่ได้ โดยเฉพาะอย่างยิ่งการลงทุนระดับองค์กรเพื่อรองรับการแบ่งส่วนย่อย” John Simms ที่ปรึกษาด้านเทคนิคอาวุโสของ CISA กล่าว
รูปแบบวุฒิภาวะจะช่วยให้ US Digital Service จัดลำดับความสำคัญของสิ่งที่ต้องทำต่อไป Elizabeth Schweinsberg ผู้เชี่ยวชาญด้านบริการดิจิทัลของ USDS กล่าวว่าภายในโมเดลมีสามระดับ ได้แก่ แบบดั้งเดิม ขั้นสูง และเหมาะสมที่สุด รวมถึงคำถามที่แนะนำเพื่อพิจารณาว่าระดับใดถึงระดับหนึ่งแล้ว เธอกล่าวว่านั่นหมายถึงผลิตภัณฑ์เฉพาะหรือการใช้งานขององค์กร
“เพราะบางทีทุกอย่างไม่จำเป็นต้องเหมาะสมที่สุด?” เธอพูด. “มีข้อมูลมากมายบนเว็บไซต์ของเราที่สาธารณชนสามารถเข้าถึงได้ ดังนั้นบางทีสิ่งเหล่านั้นซึ่งถูกเก็บไว้ภายในอาจต้องการขั้นสูงเท่านั้น”
เธอกล่าวว่าวิธีการแบบ “ปราสาทและคูน้ำ” ในการรักษาความปลอดภัยของเครือข่าย ซึ่งทุกคนในเครือข่ายจะได้รับความไว้วางใจโดยอัตโนมัติ ให้บริการแก่เอเจนซีมาเป็นเวลาหลายทศวรรษ ดังนั้นจึงเป็นเรื่องที่น่าสนใจที่จะเห็นว่าการไม่ไว้วางใจเป็นศูนย์สามารถทำอะไรได้บ้าง
การใช้กลยุทธ์ Federal Zero Trust จะใช้ความร่วมมือและการประสานงานระหว่าง USDS, CISA, OMB, กระทรวงกลาโหมและหน่วยงานอื่น ๆ มิลล์กล่าวว่าพวกเขามีการปฏิบัติอย่างมากในช่วง 8-9 เดือนที่ผ่านมา และแม้ว่าเขาจะไม่อ้างว่ารัฐบาลกลางทำงานได้อย่างราบรื่นโดยสิ้นเชิง แต่เขากล่าวว่าความสัมพันธ์ในการทำงานที่มีอยู่แล้วระหว่างหน่วยงานที่เป็นปัญหาหมายความว่าองค์กรต่างๆ ห่วง
แม้ว่าการประสานงานนั้นอาจถูกบ่อนทำลายได้แม้ในหน่วยงานด้วยบางสิ่งที่เรียบง่ายเหมือนกับการทำงานในไฟล์ Word เดียวกัน นั่นคือกรณีของ USDS Schweinsberg กล่าว
