กระทรวงกลาโหมมีความลุ่มหลงในแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของผู้ขาย โดยเฉพาะอย่างยิ่งเมื่อการโจรกรรมข้อมูลกลาโหมที่ประสบความสำเร็จทางไซเบอร์เกี่ยวข้องกับระบบไอทีส่วนตัว ไม่ใช่ระบบของรัฐบาลแต่ผู้สนับสนุนธุรกิจขนาดเล็กในแผนกมีความกังวลเกี่ยวกับข้อกำหนดชุดใหม่ที่ DoD บังคับใช้กับผู้รับเหมาด้านไอทีจำนวนมากที่เริ่มต้นในเดือนตุลาคม
สำนักงานนโยบายการจัดซื้อจัดจ้างและการซื้อกิจการกลาโหม (DPAP)
ออกการเบี่ยงเบนทางชนชั้นซึ่งเป็นวิธีแก้ปัญหาฉุกเฉินสำหรับกระบวนการปกติของการเขียนกฎการได้มา ซึ่งสั่งให้เจ้าหน้าที่ที่ทำสัญญาของกระทรวงกลาโหมทั้งหมดใส่ภาษาใหม่ลงในสัญญาของพวกเขาซึ่งต้องการการรับรองความถูกต้องด้วยหลายปัจจัยเหนือสิ่งอื่นใด ระบบที่เป็นของผู้รับเหมาซึ่งเก็บข้อมูลการป้องกันที่ไม่ได้จัดประเภท แต่ “ควบคุม” และการแจ้งเตือนอย่างรวดเร็วไปยัง DoD เมื่อดูเหมือนว่าระบบใด ๆ เหล่านั้นถูกละเมิด
“เราได้ยินจากบุคลากรของเราจำนวนมากว่า ‘เฮ้ นี่จะเป็นผลกระทบอย่างมากต่อผู้รับเหมารายย่อยของเรา’” แครอล ไวท์ รองผู้อำนวยการโครงการธุรกิจขนาดเล็กของกองทัพอากาศกล่าว ระหว่างการอภิปรายที่ฉันกลั่นกรองเมื่อสัปดาห์ที่แล้วในงานวันกองทัพอากาศประจำปีของ AFCEA NoVA “ส่วนใหญ่แล้วมันเป็นเรื่องเล็ก ๆ น้อย ๆ ณ จุดนี้ และเราจำเป็นต้องรับฟังเพิ่มเติมจากผู้รับเหมาธุรกิจขนาดเล็กของเรา แต่สิ่งนี้อาจทำให้ต้นทุนสูงขึ้น”
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
การเบี่ยงเบนนี้กำหนดให้ผู้รับเหมาดำเนินการตามมาตรฐานทางเทคนิคเฉพาะ
ของรัฐบาลสำหรับการยืนยันตัวตนแบบหลายปัจจัย ซึ่งกำหนดไว้ในเอกสารเผยแพร่พิเศษของสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ800-171 ในบางกรณี มาตรฐานเหล่านั้นจะต้องนำไปใช้กับระบบที่อยู่ภายในเครือข่ายท้องถิ่นในอาคารของบริษัท แม้ว่าจะไม่สามารถเข้าถึงได้ผ่านทางอินเทอร์เน็ตสาธารณะก็ตาม
หากผู้รับเหมาพบข้อบ่งชี้ถึงการละเมิดกฎใหม่ยังกำหนดให้ผู้ขายต้องแจ้ง DoD ภายใน 72 ชั่วโมง แต่พวกเขาทำได้ผ่านDIBNet ที่มีการควบคุมอย่างแน่นหนาของ DoD เท่านั้น ซึ่งสามารถเข้าถึงได้โดยบริษัทที่ต้องผ่านค่าใช้จ่ายและอุปสรรคของระบบราชการเพื่อให้ได้ใบรับรองความปลอดภัยทางอิเล็กทรอนิกส์ที่ตรงตามมาตรฐานของ DoD
นั่นไม่ใช่ปัญหาสำหรับผู้ขายชั้นนำของแผนกที่ทำธุรกรรมกับ DoD หลายพันล้านดอลลาร์ในแต่ละปี แต่นี่เป็นปัญหาที่เป็นไปได้สำหรับบริษัทขนาดเล็กและผู้รับเหมาที่ไม่ใช่แบบดั้งเดิม ซึ่งแผนกกล่าวว่ากำลังแสวงหานวัตกรรมเพิ่มเติม เนื่องจากการเบี่ยงเบนทางชนชั้นยังกำหนดให้ผู้ขายทุกรายกำหนดข้อกำหนดเดียวกันสำหรับผู้รับเหมาช่วงทั้งหมดของตน
ส่วนการตรวจสอบสิทธิ์แบบหลายปัจจัยของกฎใหม่ช่วยให้เจ้าหน้าที่ฝ่ายข้อมูลของ DoD มีเวลาเหลือน้อยลงเพื่อให้การสละสิทธิ์จากกฎใหม่ในกรณีที่ผู้ขายไม่สามารถปฏิบัติตามได้
แต่ John Mills หัวหน้าแผนกกลยุทธ์ความปลอดภัยทางไซเบอร์ในสำนักงาน CIO แนะนำว่าการสละสิทธิ์เหล่านั้นค่อนข้างหายาก การรับรองความถูกต้องด้วยหลายปัจจัยอยู่ที่ด้านบนสุดของรายการลำดับความสำคัญในตารางสรุปสถิติความปลอดภัยทางไซเบอร์ ใหม่ ซึ่งให้คะแนนส่วนประกอบกลาโหมทั้งหมด และดัชนีชี้วัดนั้นจะส่งตรงไปยังกระทรวงกลาโหมในแต่ละเดือน
“มันเป็นตัวบ่งชี้ที่ขับเคลื่อนว่าแผนกกำลังดำเนินการอย่างไรในขอบเขตของสงครามไซเบอร์ ดังนั้นมันจึงสำคัญมาก” มิลส์กล่าว “มีบางแง่มุมที่สามารถสละสิทธิ์ได้ แต่สิ่งนี้ได้รับความสนใจในระดับสูงมาก มีคำอธิบายที่สมเหตุสมผลว่าเหตุใดบริษัทจึงไม่สามารถปฏิบัติตามมาตรฐานของเราได้ในบางกรณี แต่เราจำเป็นต้องมีมาตรฐานที่สูงมากสำหรับการออกการยกเว้นเหล่านั้น”