ในการปฏิบัติหน้าที่อย่างเป็นทางการครั้งสุดท้ายครั้งหนึ่งของเขาในฐานะประธานาธิบดี โจ ไบเดน เมื่อวันพฤหัสบดีที่ผ่านมาได้ออกคำสั่งผู้บริหาร (EO) ฉบับใหม่ที่มีประสิทธิภาพ ซึ่งมีเป้าหมายเพื่อสนับสนุนความมั่นคงปลอดภัยทางไซเบอร์ของประเทศ คำสั่งที่ครอบคลุมนี้วางกลยุทธ์ที่ครอบคลุมเพื่อจัดการกับความท้าทายด้านข้อมูลประจำตัวดิจิทัลที่หลากหลายในด้านความปลอดภัยทางไซเบอร์ ความเป็นส่วนตัว และการรับรองความถูกต้อง
EO ต่อยอดตามคำสั่งผู้บริหารของไบเดนเมื่อวันที่ 12 พฤษภาคม 2021การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศและความคิดริเริ่มที่มีรายละเอียดอยู่ในยุทธศาสตร์ความมั่นคงปลอดภัยไซเบอร์แห่งชาติ-
มากEO แนะนำให้หน่วยงานรัฐบาลกลางที่ออกทุนพิจารณาสนับสนุนรัฐในการพัฒนาใบอนุญาตขับขี่เคลื่อนที่ (mDL) โดยมีข้อกำหนดว่าข้อมูลประจำตัวเหล่านั้นไม่ควรเปิดใช้งานการเฝ้าระวังหรือการติดตามการโต้ตอบที่ใช้ ID ดิจิทัล
ด้วยการเสริมสร้างความเข้มแข็งของห่วงโซ่อุปทานซอฟต์แวร์ ปรับปรุงการจัดการข้อมูลประจำตัว การใช้ประโยชน์จากเทคโนโลยีที่เกิดขึ้นใหม่ และส่งเสริมการทำงานร่วมกัน EO ใหม่มีเป้าหมายเพื่อปกป้องโครงสร้างพื้นฐานดิจิทัลของประเทศจากภัยคุกคามที่กำลังพัฒนา และเพื่อปกป้องความปลอดภัยและความเป็นส่วนตัวของชาวอเมริกันในโลกที่เชื่อมต่อถึงกันมากขึ้น
EO เตือนว่า “ประเทศที่เป็นปรปักษ์และอาชญากรยังคงดำเนินการรณรงค์ทางไซเบอร์โดยมุ่งเป้าไปที่สหรัฐอเมริกาและอเมริกัน” และ “สาธารณรัฐประชาชนจีนนำเสนอภัยคุกคามทางไซเบอร์ที่กระตือรือร้นและต่อเนื่องมากที่สุดต่อรัฐบาลสหรัฐอเมริกา ภาคเอกชน และเครือข่ายโครงสร้างพื้นฐานที่สำคัญ”
ไบเดนกล่าวว่า “แคมเปญเหล่านี้ขัดขวางการให้บริการที่สำคัญทั่วประเทศ มีค่าใช้จ่ายหลายพันล้านดอลลาร์ และบ่อนทำลายความปลอดภัยและความเป็นส่วนตัวของชาวอเมริกัน ต้องทำมากกว่านี้เพื่อปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศต่อภัยคุกคามเหล่านี้”
ศูนย์กลางของวันพฤหัสบดีของ Bidenคำสั่งผู้บริหารว่าด้วยการเสริมสร้างและส่งเสริมนวัตกรรมด้านความปลอดภัยทางไซเบอร์ของประเทศคือการรับรู้ถึงช่องโหว่ในห่วงโซ่อุปทานซอฟต์แวร์บุคคลที่สาม ระบบของรัฐบาลกลางและโครงสร้างพื้นฐานที่สำคัญมักอาศัยซอฟต์แวร์จากผู้ให้บริการภายนอก ซึ่งบางรายไม่สามารถแก้ไขข้อบกพร่องด้านความปลอดภัยที่ทราบได้ ส่งผลให้ระบบเหล่านี้ถูกแสวงหาผลประโยชน์ เพื่อลดความเสี่ยงนี้ EO จึงกำหนดแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยที่เข้มงวด
ภายใน 30 วันนับจากการลงนามใน EO ใหม่ สำนักงานการจัดการและงบประมาณในการประสานงานกับสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และหน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) จะต้องแนะนำภาษาสัญญาที่กำหนดให้ผู้ให้บริการซอฟต์แวร์ต้องส่งเอกสารที่ปลอดภัย การรับรองซอฟต์แวร์ไปยังพื้นที่เก็บข้อมูลส่วนกลางที่จัดการโดย CISA พื้นที่เก็บข้อมูลนี้จะประกอบด้วยเอกสารรับรองที่เครื่องอ่านได้ อาร์ติแฟกต์ระดับสูง และรายชื่อลูกค้าของรัฐบาลกลาง Federal Acquisition Regulatory Council (FAR Council) ได้รับมอบหมายให้ดำเนินการตามข้อกำหนดเหล่านี้อย่างรวดเร็ว โดยเน้นความโปร่งใสและความรับผิดชอบในความปลอดภัยของซอฟต์แวร์
เพื่อดำเนินการปฏิรูปเหล่านี้ คำสั่งของผู้บริหารได้กำหนดกรอบเวลาที่ชัดเจนและขั้นตอนการดำเนินการสำหรับหน่วยงานรัฐบาลกลางและผู้มีส่วนได้ส่วนเสียในภาคเอกชน ตัวอย่างเช่น รัฐมนตรีว่าการกระทรวงพาณิชย์โดยผ่าน NIST ได้รับมอบหมายให้อัปเดต Framework การพัฒนาซอฟต์แวร์ที่ปลอดภัยเพื่อรวมคำแนะนำโดยละเอียดเกี่ยวกับการส่งมอบและการดำเนินงานซอฟต์แวร์ที่ปลอดภัย ในทำนองเดียวกัน สภา FAR ได้รับการสนับสนุนให้ใช้กฎชั่วคราวเพื่อให้แน่ใจว่ามีการปฏิบัติตาม มาตรการเหล่านี้จะลดช่องโหว่ของซอฟต์แวร์และสร้างแนวทางปฏิบัติในการบริหารความเสี่ยงของบุคคลที่สามที่เข้มงวด
แม้ว่าแนวปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัยจะเป็นองค์ประกอบสำคัญของความคิดริเริ่มนี้ แต่ก็ไม่สามารถบรรเทาภัยคุกคามขั้นสูงที่เกิดจากผู้มีบทบาทของรัฐชาติได้ด้วยตัวเอง เมื่อตระหนักถึงสิ่งนี้ EO จึงเรียกร้องให้มีการปรับปรุงความสามารถในการตรวจจับอุปกรณ์ปลายทางและการตอบสนองทั่วทั้งหน่วยงานพลเรือนของรัฐบาลกลาง
ภายใน 180 วันนับจากวันที่ Biden ออก EO CISA จะต้องพัฒนาโปรโตคอลสำหรับการเข้าถึงข้อมูลการวัดและส่งข้อมูลทางไกลปลายทาง โดยร่วมมือกับหัวหน้าเจ้าหน้าที่สารสนเทศของรัฐบาลกลางและหัวหน้าสภาเจ้าหน้าที่รักษาความปลอดภัยข้อมูล การเข้าถึงนี้จะช่วยให้สามารถตามล่าภัยคุกคาม การตรวจจับความผิดปกติ และการประสานงานในการตอบสนองต่อแคมเปญทางไซเบอร์ที่กำหนดเป้าหมายไปยังหลายหน่วยงาน เพื่อรักษาความเป็นส่วนตัวและความสมบูรณ์ กิจกรรมเหล่านี้จะปฏิบัติตามหลักการ "สิทธิ์ขั้นต่ำ" และใช้การควบคุมการเข้าถึงที่แข็งแกร่ง
การรับรองความถูกต้องและการจัดการข้อมูลประจำตัวถือเป็นเสาหลักของความปลอดภัยทางไซเบอร์ คำสั่งดังกล่าวเน้นย้ำถึงความสำคัญของการใช้กลไกการตรวจสอบสิทธิ์แบบป้องกันการฟิชชิ่ง เช่น WebAuthn ทั่วทั้งระบบของรัฐบาลกลาง จากการใช้งานก่อนหน้านี้ หน่วยงานต่างๆ ได้รับคำสั่งให้นำร่องเทคโนโลยีเหล่านี้เพื่อแจ้งกลยุทธ์ระยะยาวสำหรับการระบุตัวตน ข้อมูลประจำตัว และการจัดการการเข้าถึง คำสั่งดังกล่าวยังเน้นย้ำถึงความจำเป็นในการจัดการคีย์การเข้ารหัสอย่างปลอดภัย และเสนอแนวทางปฏิบัติที่อัปเดตสำหรับการใช้งานในสภาพแวดล้อมคลาวด์ มาตรการเหล่านี้มีจุดมุ่งหมายเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตและเสริมสร้างความไว้วางใจในการโต้ตอบทางดิจิทัล
EO ยังกล่าวถึงความปลอดภัยของการสื่อสารของรัฐบาลกลางด้วย เอเจนซี่จำเป็นต้องใช้โปรโตคอลระบบชื่อโดเมนที่เข้ารหัสและรับประกันการส่งอีเมลที่ปลอดภัยตามค่าเริ่มต้น มาตรการเหล่านี้ปกป้องการรักษาความลับและความสมบูรณ์ของการสื่อสารของรัฐบาลจากการสกัดกั้นและการปลอมแปลง นอกจากนี้ คำสั่งดังกล่าวยังกำหนดให้มีการรักษาความปลอดภัยขั้นสูงสำหรับแพลตฟอร์มการประชุมทางเสียงและวิดีโอ โดยสนับสนุนการเข้ารหัสจากต้นทางถึงปลายทาง ขณะเดียวกันก็รักษาการปฏิบัติตามข้อกำหนดการจัดการบันทึกของรัฐบาลกลาง
EO ตั้งข้อสังเกตว่าการประมวลผลควอนตัมก่อให้เกิดความเสี่ยงที่สำคัญต่อระบบการเข้ารหัสที่มีอยู่ ดังนั้น EO จึงร่างแผนการเปลี่ยนแปลงไปสู่มาตรฐานการเข้ารหัสหลังควอนตัม (PQC) เพื่อให้มั่นใจว่าระบบของรัฐบาลกลางยังคงมีความยืดหยุ่นต่อคอมพิวเตอร์ควอนตัมที่เกี่ยวข้องกับการเข้ารหัส หน่วยงานต่างๆ จะต้องจัดลำดับความสำคัญของเทคโนโลยีที่พร้อมสำหรับ PQC และร่วมมือกับพันธมิตรระหว่างประเทศเพื่อสนับสนุนการนำเทคโนโลยีไปใช้ในระดับโลก แนวทางที่เป็นการคาดการณ์ล่วงหน้านี้พยายามที่จะป้องกันช่องโหว่ในอนาคต ในขณะเดียวกันก็รักษาความสามารถในการแข่งขันของเทคโนโลยีของสหรัฐอเมริกา
ซอฟต์แวร์โอเพ่นซอร์สซึ่งเป็นรากฐานสำคัญของคอมพิวเตอร์ยุคใหม่ ถือเป็นจุดสนใจอีกประการหนึ่งของคำสั่งของฝ่ายบริหาร แม้ว่าการใช้งานจะมอบนวัตกรรมและผลประโยชน์ด้านต้นทุน แต่ก็ยังนำมาซึ่งความเสี่ยงที่ไม่เหมือนใครอีกด้วย EO แนะนำให้หน่วยงานรัฐบาลกลางจัดการการพึ่งพาซอฟต์แวร์โอเพ่นซอร์สได้ดีขึ้นโดยนำการประเมินความปลอดภัยไปใช้ แพตช์ที่ตรงเวลา และมีส่วนร่วมในระบบนิเวศความปลอดภัยทางไซเบอร์ในวงกว้าง การดำเนินการเหล่านี้มีจุดมุ่งหมายเพื่อเพิ่มความปลอดภัยและความยืดหยุ่นของซอฟต์แวร์โอเพ่นซอร์สในขณะที่ยังคงรักษาผลประโยชน์เอาไว้
คำสั่งของผู้บริหารยังบังคับใช้การวิจัยและโครงการนำร่องเพิ่มเติมเพื่อควบคุม AI สำหรับการตรวจจับภัยคุกคาม การจัดการช่องโหว่ และการตอบสนองอัตโนมัติ ด้วยการจัดลำดับความสำคัญของชุดข้อมูลสำหรับการป้องกันทางไซเบอร์และการพัฒนาการออกแบบระบบ AI ที่ปลอดภัย คำสั่งดังกล่าวพยายามที่จะใช้ประโยชน์จากศักยภาพของ AI ในขณะเดียวกันก็จัดการกับความเสี่ยง รวมถึงการสร้างโค้ดที่ไม่ปลอดภัยและการใช้ประโยชน์จากช่องโหว่ของ AI โดยฝ่ายตรงข้าม
เพื่อต่อสู้กับอาชญากรรมในโลกไซเบอร์และการฉ้อโกง คำสั่งของผู้บริหารเน้นย้ำถึงระบบข้อมูลประจำตัวดิจิทัลที่ปลอดภัย หน่วยงานรัฐบาลกลางได้รับการสนับสนุนให้ยอมรับ mDL และเอกสารระบุตัวตนดิจิทัลอื่นๆ โดยจะต้องปฏิบัติตามหลักการความเป็นส่วนตัว ความสามารถในการทำงานร่วมกัน และการลดขนาดข้อมูล ด้วยการเปิดใช้บริการตรวจสอบ "ใช่/ไม่ใช่" รัฐบาลจึงสามารถปรับปรุงการตรวจสอบตัวตนในขณะที่รักษาความเป็นส่วนตัวของผู้ใช้ได้ โครงการนำร่องจะสำรวจเทคโนโลยีเพื่อแจ้งเตือนบุคคลถึงการใช้ข้อมูลระบุตัวตนในทางที่ผิด เสริมศักยภาพให้พวกเขาป้องกันธุรกรรมที่ฉ้อโกง
EO ยังจัดการกับความปลอดภัยทางไซเบอร์ของระบบอวกาศ ซึ่งมีบทบาทสำคัญมากขึ้นในด้านความมั่นคงของชาติและโครงสร้างพื้นฐานระดับโลก หน่วยงานรัฐบาลกลางได้รับมอบหมายให้อัปเดตข้อกำหนดสัญญาสำหรับระบบพื้นที่พลเรือนให้รวมมาตรการรักษาความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง ข้อกำหนดเหล่านี้ครอบคลุมถึงกลไกการสั่งการและการควบคุมที่ปลอดภัย การตรวจจับความผิดปกติ และแนวทางปฏิบัติในการพัฒนาซอฟต์แวร์ที่ปลอดภัย นอกจากนี้ ระบบภาคพื้นดินในอวกาศของรัฐบาลกลางจะได้รับการตรวจสอบอย่างครอบคลุมเพื่อระบุช่องว่างและปรับปรุงการป้องกัน
ตลอดคำสั่งของผู้บริหาร ความโปร่งใสและการทำงานร่วมกันเป็นประเด็นสำคัญที่เกิดซ้ำ หน่วยงานรัฐบาลกลางจะต้องแบ่งปันข้อมูลความปลอดภัยทางไซเบอร์ระหว่างกันและกับพันธมิตรภาคเอกชนเพื่อสร้างการป้องกันโดยรวม EO จัดตั้งคณะทำงานสำหรับเทคโนโลยีเฉพาะ เช่น โซลูชันการตรวจจับปลายทางและการตอบสนอง เพื่อให้มั่นใจว่าหน่วยงานและผู้จำหน่ายจะปฏิบัติตามแนวปฏิบัติที่ดีที่สุด นอกจากนี้ยังสนับสนุนความร่วมมือระหว่างประเทศในการจัดการกับภัยคุกคามทางไซเบอร์ทั่วโลก โดยตระหนักว่าความปลอดภัยทางไซเบอร์นั้นอยู่เหนือขอบเขตของประเทศ
การดำเนินการตามคำสั่งของผู้บริหารจะต้องได้รับคำแนะนำจากการกำกับดูแลอย่างเข้มงวดและการประเมินอย่างต่อเนื่อง ผู้อำนวยการด้านไซเบอร์แห่งชาติ โดยประสานงานกับ CISA และผู้มีส่วนได้ส่วนเสียอื่นๆ มีหน้าที่ติดตามการปฏิบัติตามข้อกำหนดและการเปิดเผยผลลัพธ์ต่อสาธารณะ ความรับผิดชอบนี้มีจุดมุ่งหมายเพื่อให้แน่ใจว่ามาตรการที่ระบุไว้ใน EO แปลเป็นการปรับปรุงความปลอดภัยทางไซเบอร์ที่จับต้องได้
หัวข้อบทความ
-------
