ข้อค้นพบจากการตรวจสอบผู้ตรวจราชการ (IG) ของกระทรวงกลาโหม (DOD) ใหม่ได้เน้นย้ำถึงช่องโหว่ที่สำคัญในแนวทางปฏิบัติด้านความเป็นส่วนตัว ความปลอดภัย และการตรวจสอบสิทธิ์ที่เกี่ยวข้องกับอุปกรณ์มือถือที่ถูกจัดประเภทซึ่งใช้โดยเจ้าหน้าที่ทหารและลูกจ้างพลเรือนของสหรัฐฯ ที่ได้รับอนุญาต ข้อบกพร่องเหล่านี้ไม่เพียงแต่กระทบต่อความสมบูรณ์ของข้อมูลที่ละเอียดอ่อนเท่านั้น แต่ยังทำให้ DOD เผชิญกับการละเมิดที่อาจเกิดขึ้นและภัยคุกคามภายในอีกด้วย
รายงานการตรวจสอบของ IG เวอร์ชันไม่เป็นความลับที่ได้รับการดัดแปลงใหม่การตรวจสอบความปลอดภัยทางไซเบอร์ของอุปกรณ์มือถือจำแนกประเภทกระทรวงกลาโหมกล่าวว่าการจัดการกับความท้าทายเหล่านี้ต้องใช้ความพยายามร่วมกันในการปรับปรุงการฝึกอบรม บังคับใช้การปฏิบัติตามข้อกำหนด และใช้ระบบการตรวจสอบและสินค้าคงคลังขั้นสูง คำแนะนำที่ให้ไว้ในรายงานทำหน้าที่เป็นแผนงานที่สำคัญในการเสริมสร้างความแข็งแกร่งด้านความปลอดภัยทางไซเบอร์ของโปรแกรมอุปกรณ์พกพาที่เป็นความลับ เพื่อให้มั่นใจถึงการปกป้องผลประโยชน์ด้านความมั่นคงของชาติในโลกที่เคลื่อนที่และเชื่อมโยงถึงกันมากขึ้น
วัตถุประสงค์ของการตรวจสอบคือเพื่อตรวจสอบว่าส่วนประกอบของกระทรวงกลาโหมใช้การควบคุมความปลอดภัยทางไซเบอร์อย่างมีประสิทธิภาพเพื่อรักษาความปลอดภัยอุปกรณ์มือถือที่ถูกจัดประเภทหรือไม่ และข้อมูลที่ละเอียดอ่อนมีการเข้าถึง จัดเก็บ หรือถ่ายโอนผ่านอุปกรณ์เหล่านั้น การค้นพบนี้นำเสนอเรื่องราวที่เกี่ยวข้องกับข้อบกพร่องของระบบ ซึ่งได้รับการขยายความจากการใช้งานทางไกลและอุปกรณ์เคลื่อนที่ที่เพิ่มขึ้นอย่างรวดเร็วในช่วงการระบาดใหญ่ของโควิด-19
ปัญหาเหล่านี้ “เกิดขึ้นเนื่องจากเจ้าหน้าที่ผู้มีอำนาจส่วนประกอบของ DOD, ผู้จัดการอุปกรณ์อิเล็กทรอนิกส์พกพาแบบแยกประเภท และผู้จัดการโปรแกรมไม่ได้เตรียมที่จะจัดการความต้องการอุปกรณ์มือถือจำแนกประเภทที่เพิ่มขึ้นอย่างมีประสิทธิภาพซึ่งเกิดจากการระบาดใหญ่ของ COVID-19 และการเปลี่ยนไปสู่การทำงานทางไกลในปริมาณที่ไม่เคยมีมาก่อนซึ่งเริ่มต้นในปี มีนาคม 2563” การตรวจสอบสรุป
รายงานการตรวจสอบเน้นย้ำถึงข้อบกพร่องที่สำคัญในการรักษาความลับของข้อมูลที่เป็นความลับบนอุปกรณ์เคลื่อนที่ ปัญหาสำคัญ ได้แก่ การใช้โปรโตคอลการเข้ารหัสที่ไม่สอดคล้องกัน มาตรการรักษาความปลอดภัยทางกายภาพที่อ่อนแอ และการขาดการฝึกอบรมผู้ใช้ที่ครอบคลุม อุปกรณ์เคลื่อนที่ที่ถูกแยกประเภท รวมถึงสมาร์ทโฟน แล็ปท็อป และแท็บเล็ต ได้รับการออกแบบมาเพื่อจัดเก็บ ประมวลผล และส่งข้อมูลที่ละเอียดอ่อนและเป็นความลับ แม้ว่าจะมีความเสี่ยงโดยธรรมชาติ แต่ส่วนประกอบ DOD บางส่วนก็ล้มเหลวในการใช้การป้องกันขั้นพื้นฐาน เช่น การรับรองการปฏิบัติตามการเข้ารหัสและการบำรุงรักษาแพตช์ซอฟต์แวร์ที่ทันสมัย
DOD IG Robert P. Storch กล่าวในแถลงการณ์ว่าเขา “ก่อนหน้านี้ระบุว่าภัยคุกคามความปลอดภัยทางไซเบอร์เป็นความท้าทายด้านการจัดการและประสิทธิภาพ DOD อันดับต้นๆ” โดยเน้นว่า “การรักษาความปลอดภัยสำหรับอุปกรณ์มือถือ DOD เป็นสิ่งจำเป็นสำหรับการปกป้องความมั่นคงของชาติ การปกป้องข้อมูลที่เป็นความลับ และรับประกันความสมบูรณ์ ของภารกิจของกระทรวงกลาโหม ในสภาพแวดล้อมดิจิทัลในปัจจุบัน อุปกรณ์เคลื่อนที่เป็นเครื่องมือที่ขาดไม่ได้ที่ช่วยให้บุคลากรของกระทรวงกลาโหมมีความยืดหยุ่นและประสิทธิภาพที่จำเป็นในการตอบสนองความรับผิดชอบของตน อย่างไรก็ตาม สิ่งเหล่านี้ยังเป็นเป้าหมายหลักสำหรับภัยคุกคามทางไซเบอร์ซึ่งอาจส่งผลต่อข้อมูลและภูมิทัศน์ความมั่นคงของชาติ การรักษาความปลอดภัยอุปกรณ์เหล่านี้ไม่ได้เป็นเพียงความสำคัญทางเทคนิคเท่านั้น มันเป็นอาณัติการปฏิบัติงานที่สำคัญที่ช่วยให้กระทรวงกลาโหมสามารถบรรลุภารกิจได้อย่างปลอดภัยและมีประสิทธิภาพ”
การตรวจสอบพบว่าอุปกรณ์บางตัวขาดการป้องกัน Data-at-Rest (DAR) ที่เพียงพอ ซึ่งทำให้ข้อมูลลับที่เก็บไว้มีความปลอดภัย อุปกรณ์ที่กำหนดค่าด้วยความสามารถ DAR มีความสำคัญอย่างยิ่งในการป้องกันการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต หากอุปกรณ์สูญหายหรือถูกขโมย อย่างไรก็ตาม การขาดการฝึกอบรมที่เป็นมาตรฐานเกี่ยวกับโปรโตคอล DAR สำหรับผู้ใช้ และการบังคับใช้มาตรการเหล่านี้ที่ไม่สอดคล้องกัน เป็นอันตรายต่อความปลอดภัยของข้อมูลที่เป็นความลับ ซึ่งอาจรวมถึงข้อมูลส่วนบุคคลและข้อมูลที่ละเอียดอ่อนอื่นๆ ข้อบกพร่องนี้ทำให้เกิดความตื่นตระหนกเกี่ยวกับโอกาสที่จะเกิดการละเมิด ซึ่งอาจมีผลกระทบร้ายแรงต่อความมั่นคงของชาติ
รายงานระบุถึงความล้มเหลวที่สำคัญในการรักษาบันทึกสินค้าคงคลังที่ถูกต้องสำหรับอุปกรณ์มือถือที่จัดประเภท บันทึกที่ไม่สมบูรณ์เป็นอุปสรรคต่อความรับผิดชอบ ทำให้การติดตามอุปกรณ์และป้องกันการใช้งานโดยไม่ได้รับอนุญาตเป็นเรื่องที่ท้าทาย ตัวอย่างเช่น ส่วนประกอบต่างๆ เช่น Defense Information Systems Agency (DISA), US European Command (USEUCOM) และแม้แต่ US Special Operations Command (USSOCOM) ได้รายงานความไม่สอดคล้องกันในการบันทึกองค์ประกอบสินค้าคงคลังที่สำคัญ เช่น ข้อมูลผู้ใช้ หมายเลขซีเรียลของอุปกรณ์ และ ระดับการจำแนกข้อมูล
ความล้มเหลวในการจัดการสินค้าคงคลังเหล่านี้เผยให้เห็นช่องโหว่ของระบบ IG กล่าว หากไม่มีบันทึกที่ถูกต้อง แทบจะเป็นไปไม่ได้เลยที่จะเรียกคืนอุปกรณ์ที่อาจมีความเสี่ยงเนื่องจากซอฟต์แวร์ที่ล้าสมัยหรือคุณลักษณะด้านความปลอดภัยที่ถูกบุกรุก นอกจากนี้ การไม่สามารถปรับยอดความคลาดเคลื่อนของสินค้าคงคลังยิ่งเพิ่มความเสี่ยง เนื่องจากบุคคลที่ไม่ได้รับอนุญาตอาจใช้ประโยชน์จากอุปกรณ์ที่ไม่ได้รับการติดตามเพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน เป็นความลับ และข้อมูลส่วนบุคคล
ข้อบกพร่องที่เห็นได้ชัดอีกประการหนึ่งอยู่ที่การติดตามกิจกรรมของผู้ใช้ การตรวจสอบการใช้งานอุปกรณ์อย่างต่อเนื่องเป็นรากฐานสำคัญของการรักษาความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพ ช่วยให้สามารถตรวจจับการเข้าถึงที่ไม่ได้รับอนุญาตหรือพฤติกรรมที่ผิดปกติได้ตั้งแต่เนิ่นๆ รายงานเน้นย้ำว่าองค์ประกอบ DOD หลายอย่างล้มเหลวในการใช้โปรโตคอลการตรวจสอบกิจกรรมของผู้ใช้ที่มีประสิทธิภาพ การกำกับดูแลนี้จะบ่อนทำลายความพยายามในการบรรเทาภัยคุกคามภายในและสามารถตรวจจับการละเมิดได้ทันที IG กล่าว
การรับรองความถูกต้องที่เหมาะสมเป็นพื้นฐานเพื่อให้แน่ใจว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงอุปกรณ์มือถือที่จัดประเภทและข้อมูลที่มีอยู่ อย่างไรก็ตาม การตรวจสอบเผยให้เห็นข้อบกพร่องที่สำคัญในการควบคุมการเข้าถึงและขั้นตอนการตรวจสอบผู้ใช้
การค้นพบที่สำคัญประการหนึ่งคือการบังคับใช้ข้อตกลงผู้ใช้และข้อกำหนดการฝึกอบรมที่ไม่สอดคล้องกัน ข้อตกลงผู้ใช้เป็นเอกสารสำคัญที่ระบุความรับผิดชอบและภาระผูกพันของบุคลากรที่ได้รับมอบหมายให้ดูแลอุปกรณ์ประเภทต่างๆ ข้อตกลงเหล่านี้ควรมีรายละเอียดโปรโตคอลสำหรับการรักษาความปลอดภัยของอุปกรณ์ การรายงานเหตุการณ์ และการปฏิบัติตามแนวทางการใช้งานที่เข้มงวด อย่างไรก็ตาม การตรวจสอบพบว่าองค์ประกอบบางอย่างไม่สามารถรับประกันได้ว่าผู้ใช้ทุกคนลงนามและรับทราบข้อตกลงที่อัปเดต
นอกจากนี้ รายงานยังระบุถึงความไม่เพียงพอในการตรวจสอบเหตุผลของผู้ใช้สำหรับการเข้าถึงอุปกรณ์ DOD กำหนดให้ผู้ใช้ระบุความต้องการภารกิจที่ถูกต้องก่อนที่จะออกอุปกรณ์เคลื่อนที่ที่จัดประเภท อย่างไรก็ตาม มีเอกสารที่คลุมเครือหรือขาดหายไป ทำให้เกิดความกังวลเกี่ยวกับการเข้าถึงโดยไม่ได้รับอนุญาตหรือไม่จำเป็น ตัวอย่างเช่น องค์ประกอบบางส่วนยอมรับเหตุผลทั่วไป เช่น “โควิด-19” โดยไม่มีการให้รายละเอียดเพิ่มเติม
การหมดอายุของการรับรองความถูกต้องที่โดดเด่นอีกประการหนึ่งเกี่ยวข้องกับความล้มเหลวในการปิดใช้งานบัญชีที่ไม่ได้ใช้งาน รายงานเผยให้เห็นว่าส่วนประกอบบางอย่างไม่ได้ตรวจสอบและลบการเข้าถึงของผู้ใช้ที่ไม่จำเป็นต้องใช้อุปกรณ์อีกต่อไป การควบคุมดูแลนี้เพิ่มความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาตอย่างมาก โดยเฉพาะอย่างยิ่งในกรณีที่อุปกรณ์หรือบัญชียังคงทำงานอยู่โดยไม่มีการควบคุมดูแลที่ถูกต้องตามกฎหมาย
การตรวจสอบให้คำแนะนำเร่งด่วนหลายประการเพื่อจัดการกับความท้าทายเหล่านี้ ซึ่งรวมถึงการอัปเดตระบบสินค้าคงคลังเพื่อรวมองค์ประกอบข้อมูลที่จำเป็นทั้งหมด การดำเนินการตรวจสอบเป็นประจำเพื่อให้มั่นใจถึงความรับผิดชอบของอุปกรณ์ และการใช้โปรแกรมการฝึกอบรมผู้ใช้ที่ครอบคลุม คำแนะนำยังเน้นย้ำถึงความจำเป็นในการสร้างและบังคับใช้มาตรการควบคุมการเข้าถึงที่เข้มงวด เช่น การตรวจสอบเหตุผลของผู้ใช้อีกครั้งเป็นระยะๆ และการปิดใช้งานบัญชีที่ไม่ได้ใช้งานโดยทันที
นอกจากนี้ รายงานของ IG ยังเรียกร้องให้มีการกำหนดมาตรฐานของข้อตกลงผู้ใช้เพื่อรวมข้อกำหนดด้านความปลอดภัยที่จำเป็นทั้งหมด การตรวจสอบให้แน่ใจว่าผู้ใช้ทุกคนเข้าใจและรับทราบข้อตกลงเหล่านี้เป็นสิ่งสำคัญสำหรับการรักษาสภาพแวดล้อมการทำงานที่ปลอดภัย นอกจากนี้ ควรปรับปรุงโปรแกรมการฝึกอบรมให้ครอบคลุมข้อกำหนดด้านเทคนิคและการบริหารทั้งหมด เพื่อให้ผู้ใช้มีความรู้ในการจัดการอุปกรณ์ประเภทต่างๆ อย่างมีความรับผิดชอบ
สุดท้ายนี้ การตรวจสอบเน้นย้ำถึงความสำคัญของการติดตามอย่างต่อเนื่องและการวางแผนตอบสนองต่อเหตุการณ์ ด้วยการผสานรวมเครื่องมือตรวจสอบขั้นสูงและตรวจสอบแผนการตอบสนองอย่างสม่ำเสมอ กระทรวงกลาโหมสามารถตรวจจับ ตอบสนอง และบรรเทาภัยคุกคามความปลอดภัยทางไซเบอร์ได้ดีขึ้น
IG ได้ให้คำแนะนำ 40 ประการเพื่อจัดการกับข้อค้นพบของการตรวจสอบ ซึ่งรวมถึงเจ้าหน้าที่ที่ได้รับอนุญาตของ DISA, USEUCOM และ USSOCOM ดำเนินการตรวจสอบโปรแกรมอุปกรณ์มือถือที่จัดประเภทไว้ ระบุการควบคุมความปลอดภัยทางไซเบอร์ที่บกพร่อง และพัฒนาและดำเนินการตามแผนปฏิบัติการแก้ไข
น่ากังวลใจที่ IG กล่าวว่าคำแนะนำ 19 ข้อ “ถือว่าไม่ได้รับการแก้ไข เนื่องจากผู้อำนวยการฝ่ายบริการองค์กรร่วมระบบสารสนเทศกลาโหมไม่ได้ให้คำแนะนำอย่างเต็มที่ และผู้อำนวยการฝ่ายสั่งการ การควบคุม การสื่อสาร และคอมพิวเตอร์/ไซเบอร์ ประธานเจ้าหน้าที่สารสนเทศ USSOCOM ไม่ได้ตอบกลับรายงานดังกล่าว” IG กล่าว “เราจะติดตามคำแนะนำเหล่านี้จนกว่าฝ่ายบริหารจะตกลงที่จะดำเนินการที่เราพิจารณาว่าเพียงพอเพื่อให้เป็นไปตามจุดประสงค์ของคำแนะนำ และส่งเอกสารที่เพียงพอซึ่งแสดงว่าการดำเนินการตามที่ตกลงไว้ทั้งหมดเสร็จสมบูรณ์”
หัวข้อบทความ
-------
