สำนักงานการจัดการและงบประมาณกำลังพยายามแก้ไขหนึ่งในช่องโหว่ขนาดใหญ่ในการรักษาความปลอดภัยทางไซเบอร์ของรัฐบาลกลางที่เปิดเผยโดยช่องโหว่ Heartbleed เมื่อไม่กี่เดือนที่ผ่านมาทำเนียบขาวให้อำนาจแก่แผนกความมั่นคงแห่งมาตุภูมิในการดำเนินการสแกนเชิงรุกของเครือข่ายหน่วยงานพลเรือนบางแห่งเป็นประจำBeth Cobert รองผู้อำนวยการฝ่ายการจัดการของ OMB กล่าวในบล็อกที่มีกำหนดจะโพสต์ในบ่ายวันนี้และรับโดย Federal News Radio กระบวนการใหม่นี้จะ “เปิดใช้งานการตอบสนองที่รวดเร็วและครอบคลุมมากขึ้นสำหรับช่องโหว่และเหตุการณ์สำคัญด้านความปลอดภัยทางไซเบอร์”
หน่วยงานยังต้องให้สิทธิ์ DHS ในการสแกนเว็บไซต์และระบบที่เข้าถึงอินเทอร์เน็ตได้
ข้อมูลเชิงลึกโดย LaunchDarkly: เรียนรู้ว่า Coast Guard, NSF และ USAID ไม่เพียงแต่ปรับปรุงสภาพแวดล้อมขององค์กรเท่านั้น แต่ยังดำเนินการดังกล่าวด้วยวิธีที่สนับสนุนพนักงานของตนในการให้บริการได้ดีที่สุด ในขณะเดียวกันก็รักษาข้อมูลของรัฐบาลกลางให้ปลอดภัยด้วย
“กลไกนี้ควรเสริมการดำเนินการรักษาความปลอดภัยข้อมูลของหน่วยงานที่มีอยู่เพื่อรวมการสแกนเครือข่าย และมีวัตถุประสงค์เพื่อให้วิธีการสแกนที่สอดคล้องกันซึ่งสามารถระบุภัยคุกคามและช่องโหว่ที่อาจมีผลกระทบต่อรัฐบาลได้อย่างรวดเร็ว” Shaun Donovan ผู้อำนวยการ OMB เขียนไว้ในคำแนะนำ ซึ่ง Federal News นอกจากนี้ยังได้รับวิทยุ
อาณัติใหม่สำหรับ DHS นี้เป็นหนึ่งในการเปลี่ยนแปลงเล็กน้อยในคำแนะนำพระราชบัญญัติการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง (FISMA) ประจำปี OMB จะออกในวันที่ 3 ตุลาคม
OMB ได้เพิ่มข้อกำหนดใหม่นี้สำหรับ DHS เพื่อสแกนเครือข่ายหน่วยงานพลเรือนหลังจากเกิดช่องโหว่ Heartbleed ในช่วงเวลานั้น DHS ต้องได้รับอนุญาตจากหน่วยงานต่างๆ เพื่อสแกนเครือข่ายของตน ซึ่งทำให้กลยุทธ์การลดผลกระทบล่าช้าไปสองสามวัน
DHS ระบุอย่างชัดเจนในเดือนพฤษภาคมในระหว่าง
การพิจารณาของสภาว่าต้องการให้สภาคองเกรสให้อำนาจมากขึ้นในการสแกนเครือข่ายหน่วยงาน
Andy Ozment ผู้ช่วยเลขานุการของสำนักงานความปลอดภัยทางไซเบอร์และการสื่อสารใน DHS กล่าวกับ Federal News Radio ในการให้สัมภาษณ์ก่อนที่ OMB จะออกคำแนะนำ FISMA ว่าเมื่อ DHS ไม่มีหน่วยงานที่ชัดเจนที่จำเป็นและสภาคองเกรสต้องการให้มี ทำให้ทุกอย่างยากขึ้น
“เมื่อเกิดช่องโหว่ Heartbleed นี้ คำถามสำคัญที่เห็นได้ชัดคือ รัฐบาลกลางมีความเสี่ยงต่อช่องโหว่นี้หรือไม่ เราแก้ไขได้กี่จุดและเมื่อไหร่ แผนกและหน่วยงานต่าง ๆ ทำและควรสแกนตัวเองเพื่อดูว่าพวกเขามีความเสี่ยงในจุดใดบ้าง” Ozment กล่าว “อย่างไรก็ตาม ในเวลาเดียวกัน หากคุณกำลังใช้วิธีแบบองค์กร ถ้าคุณเป็นทำเนียบขาว และคุณต้องการบอกว่าแผนกต่างๆ กำลังสแกนตัวเอง และพวกเขากำลังบอกฉันว่าพวกเขากำลังเสี่ยงกับคอมพิวเตอร์ 8 เครื่อง ฉันต้องการ สามารถตรวจสอบได้อีกครั้งและตรวจสอบให้แน่ใจว่าเราสามารถตรวจสอบได้ ประการที่สอง ในฐานะทำเนียบขาว ฉันต้องการที่จะอยู่เหนือสิ่งนี้และพูดว่า ‘แผนกนี้ยังเคลื่อนไหวไม่เร็วพอ และฉันต้องการให้คุณดำเนินการให้เร็วกว่านี้ ดังนั้นด้วยเหตุผลทั้งสองประการนี้ ฉันต้องการใครสักคนที่จะตรวจสอบรัฐบาลและบอกฉันว่าฉันยืนอยู่ตรงไหน’ มีเหตุผลเพิ่มเติมคือ
Ozment กล่าวว่าทำเนียบขาวขอให้ DHS สแกนเครือข่ายหน่วยงานพลเรือนเมื่อต้นปีนี้ แต่พวกเขาสแกนได้เพียงไม่กี่คนเท่านั้น เขากล่าวว่า DHS ได้ขอให้หน่วยงานต่างๆ ลงนามในบันทึกข้อตกลง (MOA) เพื่อให้ผู้เชี่ยวชาญด้านไซเบอร์สแกนเครือข่ายของตนมานานกว่าหนึ่งปีแล้ว แต่มีเพียงไม่กี่รายเท่านั้นที่ลงนามใน MOA
“เราใช้เวลาหนึ่งสัปดาห์แทนที่จะสแกนรัฐบาลและทำความเข้าใจว่าเราอ่อนแอเพียงใด เคาะประตูบ้าน โทรหา CIO และขอให้พวกเขาลงนามในเอกสาร” เขากล่าว “พวกเขาทำได้ และเราก็มีท่าทางที่ดีในตอนนี้ แต่เมื่อใดก็ตามที่ CIO สามารถยกเลิกข้อตกลงได้ นั่นเป็นเหตุผลที่เราต้องการให้รัฐสภาเข้ามามีส่วนร่วม”
ดังนั้น ในขณะที่สภาคองเกรสตัดสินใจว่าจะปรับปรุง FISMA และกฎหมายไซเบอร์อื่นๆ หรือไม่ OMB กำลังวางนโยบายข้อกำหนดสำหรับหน่วยงานเพื่อให้ DHS สามารถสแกนเครือข่ายของตนได้
