กระทรวงความมั่นคงแห่งมาตุภูมิบอกกับสภาคองเกรสเมื่อวันอังคารว่าได้เห็นเงินปันผลที่สำคัญจากหน่วยงานด้านกฎหมายใหม่ที่สภาคองเกรสมอบให้แผนกนี้ในปี 2014: ความสามารถในการบังคับให้หน่วยงานรัฐบาลกลางอื่น ๆ ดำเนินการอย่างเป็นรูปธรรมเพื่อปรับปรุงท่าทางความปลอดภัยทางไซเบอร์ DHS ได้ออกคำสั่งดังกล่าว 4 ฉบับในช่วงสองปีที่ผ่านมา ซึ่งมากกว่าที่เคยเปิดเผยไว้ 2 ฉบับ
คำสั่งเพิ่มเติมสองคำสั่งที่เรียกว่า Binding Operational Directives
ถูกส่งไปยังหน่วยงานต่างๆ โดย Jeh Johnson รัฐมนตรีกระทรวงความมั่นคงแห่งมาตุภูมิในขณะนั้นในช่วงเดือนสุดท้ายของรัฐบาลโอบามา
หนึ่ง ในเดือนกันยายนปีที่แล้ว สั่งให้หน่วยงานแก้ไข “ช่องโหว่เร่งด่วน” ในผลิตภัณฑ์ไฟร์วอลล์ที่ผลิตโดย Cisco โดยทันที DHS ไม่ได้ระบุปัญหาที่แน่ชัดในคำสั่ง แต่ในเวลาเดียวกัน แผนกได้ออกคำ เตือน สาธารณะว่าเครือข่ายอาชญากรกำลังแจกจ่ายมัลแวร์ที่อาจทำให้แฮ็กเกอร์เข้าควบคุมระบบทั้งหมดซึ่งเรียกว่า Adaptive Security Appliances
แผนกได้ออกคำสั่งอื่นในเดือนตุลาคม เพื่อให้เป็นไปตามคำสั่งของรัฐสภาในพระราชบัญญัติการปรับปรุงความปลอดภัยของข้อมูลของรัฐบาลกลางปี 2014 คำสั่งเดือนตุลาคมกำหนดขั้นตอนเฉพาะที่หน่วยงานต้องปฏิบัติตามในการรายงานเหตุการณ์ด้านความปลอดภัยทางไซเบอร์และท่าทีด้านความปลอดภัยทางไซเบอร์โดยรวมต่อรัฐสภา สำนักงานการจัดการและงบประมาณ และ DHS
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง
– ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
คำสั่งการปฏิบัติงานที่มีผลผูกพันสองข้อแรกของ DHS ได้รับการรายงานอย่างกว้างขวางแล้ว ครั้งแรกในเดือนพฤษภาคม 2558 บอกให้หน่วยงานต่างๆ เริ่มทำงานทันทีเพื่อบรรเทาช่องโหว่ที่สำคัญที่สุดภายใน 30 วัน ครั้งที่สองเมื่อเดือนมิถุนายนที่ผ่านมา สั่งให้หน่วยงานต่างๆ เข้าร่วมใน “การประเมินที่นำโดย DHS” เพื่อระบุและรักษาความปลอดภัยของสินทรัพย์ไอทีที่มีมูลค่าสูงสุด
Jeanette Manfra รักษาการรองปลัดกระทรวงความมั่นคงแห่งมาตุภูมิเพื่อความปลอดภัยทางไซเบอร์กล่าวว่าหน่วยงานสั่งการที่สภาคองเกรสสร้างขึ้นซึ่งเป็นส่วนหนึ่งของการอัปเดต FISMA ปี 2014 ได้กลายเป็นเครื่องมือที่มีค่าอย่างยิ่ง – ให้อำนาจ DHS ในการปรับปรุงความปลอดภัยแทนการเสนอแนะเท่านั้น และ เอาชนะคำถามก่อนหน้าของหน่วยงานเกี่ยวกับหน่วยงานทางกฎหมาย
“พวกเขาทั้งหมดถูกส่งโดยอดีตเลขาธิการจอห์นสันโดยตรงไปยังเพื่อนร่วมงานของเขาในแผนกอื่นๆ และเราเชื่อว่านั่นเป็นส่วนหนึ่งของความสำเร็จของคำสั่งเหล่านี้” เธอบอกกับคณะกรรมการความมั่นคงแห่งมาตุภูมิของสภาเมื่อวันอังคาร “ตามคำสั่งสำหรับช่องโหว่ที่สำคัญ เรามีข้อมูลที่ยอดเยี่ยมที่แสดงให้เห็นว่าไม่เพียงแต่เอเจนซี่จะปิดช่องโหว่เหล่านั้นแล้ว ยังช่วยลดเวลาที่ใช้ในการดำเนินการดังกล่าวอีกด้วย เราให้เวลาพวกเขา 30 วัน — และช่องโหว่เหล่านั้นจำนวนมากก็เปิดมานานกว่าหนึ่งปีแล้ว ขณะนี้เราเห็นการลดระยะเวลาที่หน่วยงานต่างๆ ใช้ในการจัดการกับสิ่งเหล่านี้ลดลงอย่างมาก เป็นการเปลี่ยนแปลงพฤติกรรมที่พิสูจน์ได้ และสะท้อนถึงคุณค่าของแนวทางการดำเนินงานที่มีผลผูกพันเหล่านี้”
อันที่จริง ในเวลาที่จอห์นสันออกคำสั่งครั้งแรกเกี่ยวกับช่องโหว่ร้ายแรง DHS ได้ระบุอย่างน้อย 360 รายการที่ “เก่า” ซึ่งเป็นช่องโหว่ด้านความปลอดภัยที่หน่วยงานต่างๆ ทราบมานานกว่าหนึ่งเดือนแต่ยังไม่ได้แก้ไข
ในทางตรงกันข้าม Manfra กล่าวว่าในช่วงเดือนเฉลี่ยตั้งแต่เดือนธันวาคม 2558 การสแกน DHS ของเครือข่ายหน่วยงานของรัฐบาลกลางได้เปิดช่องโหว่ที่สำคัญ 40 รายการในคราวเดียว และหน่วยงานต่าง ๆ กำลังดำเนินการแก้ไขอย่างรวดเร็ว
“และเราไม่ได้ปิดคำสั่งการปฏิบัติงานที่มีผลผูกพันเกี่ยวกับช่องโหว่ร้ายแรงหรือสินทรัพย์ที่มีมูลค่าสูง เพราะสิ่งเหล่านี้เป็นสิ่งที่เราต้องการวัดผลต่อไป” เธอกล่าว “เราจะยังคงทำงานร่วมกับหัวหน้าเจ้าหน้าที่ข้อมูลของหน่วยงานและหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล และดำเนินการจัดทำรายงานเกี่ยวกับสถานะของพวกเขาต่อไป เราคิดว่าสิ่งเหล่านี้ใช้ได้เสมอ”
ความคิดเห็นของ Manfra เกี่ยวกับคำสั่งปฏิบัติการมีขึ้นในระหว่างการพิจารณาคดี ซึ่งฝ่ายนิติบัญญัติต้องการการประเมินโดยรวมของความสามารถ DHS ในการรักษาความปลอดภัยเครือข่ายหน่วยงานพลเรือนของรัฐบาลกลาง เพียงหนึ่งสัปดาห์หลังจากที่ Michael McCaul ประธานคณะกรรมการเรียกร้องให้มีการจัดตั้งหน่วยงานใหม่ที่จะถูกเรียกเก็บเงินโดยเฉพาะ ด้วยการรับรองความปลอดภัยทางไซเบอร์ของโดเมน .gov
หัวข้อนั้นไม่ปรากฏในการพิจารณาคดีเมื่อวันอังคาร แต่โดยทั่วไปแล้ว สำนักงานความรับผิดชอบของรัฐบาลกล่าวว่าความพยายามของ DHS ในการรักษาความปลอดภัยเครือข่ายของรัฐบาลกลางทำให้ยังมีพื้นที่สำหรับการปรับปรุงอีกมาก เมื่อเดือนที่แล้ว GAO ได้ให้คำแนะนำประมาณ 2,500 รายการแก่หน่วยงานความมั่นคงทางไซเบอร์ของพลเรือน และอีกประมาณ 1,000 รายการไม่ได้รับการแก้ไข
