ก่อนที่ วาระ ของ Greg Touhillจะสิ้นสุดลงในตำแหน่งหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางคนแรก เขาได้ข้อสรุปที่สำคัญ: หน่วยงานต่างๆ ไม่ต้องการนโยบายเกี่ยวกับความปลอดภัยทางไซเบอร์และเทคโนโลยีอีกต่อไปในความเป็นจริง Touhill กล่าวเมื่อวันที่ 23 มกราคมว่าสำนักงานการจัดการและงบประมาณได้ระบุนโยบาย 63 รายการที่จำเป็นต้องยกเลิกภายใต้โครงการที่เรียกว่า Project CRUFT Cruft เป็นคำที่ใช้ในกระบวนการพัฒนาซอฟต์แวร์ ซึ่งหมายถึง “สกปรก ไม่เป็นที่พอใจ พิเศษ นำไปใช้อย่างเลอะเทอะ ทำซ้ำที่อื่น
หรือไร้ประโยชน์” ตามรายงานของ TechTarget บน dev/ops
“การวัดความสำเร็จไม่ได้อยู่ที่จำนวนของนโยบาย แต่อยู่ที่ว่าคุณดำเนินการได้ดีเพียงใด โฟกัสของฉันอยู่ที่การดำเนินการและการติดตามผล” Touhill กล่าวที่ Institute for Critical Infrastructure Technology (ICIT) Winter Summit ในเมือง Arlington รัฐเวอร์จิเนีย “ฉันคาดว่าในสัปดาห์หน้าคุณจะเห็นการยกเลิกนโยบายเหล่านั้น ตัวอย่างเช่น เหตุใดเราจึงกำหนดให้ CIO ทุกคนรับรองว่าระบบของพวกเขาเป็นไปตามมาตรฐาน Y2k นั่นเป็นเพียงการเพิ่มการลากให้กับองค์กร ผมคิดว่าเราผ่านมันมาได้สำเร็จ การติดตามผลเป็นสิ่งสำคัญอย่างยิ่ง คุณต้องสามารถดำเนินการได้ นั่นคือบางอย่างในรัฐบาลกลาง และฉันจะโต้แย้งในภาคเอกชนด้วย นี่เป็นข้อบกพร่องที่เราทุกคนจำเป็นต้องแก้ไข”
ขณะที่ Touhill ให้รายละเอียดคำแนะนำ 3 ข้อเกี่ยวกับความปลอดภัยในโลกไซเบอร์สำหรับฝ่ายบริหารชุดต่อไป ทำเนียบขาวของทรัมป์กำลังยุ่งอยู่กับการเขียนคำสั่งผู้บริหารด้านความปลอดภัยในโลกไซเบอร์อีกฉบับที่เรียกร้องให้มีการศึกษาและข้อเสนอแนะมากมาย สำหรับผู้เชี่ยวชาญหลายคน รู้สึกเหมือนว่าคนของทรัมป์
กำลังปูทางสู่โลกไซเบอร์ที่เป็นที่เลื่องลือ การศึกษาเพิ่มเติมจะทำให้งานจริงล่าช้า
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
วอชิงตันโพสต์ได้รับสำเนาของร่างดังกล่าวเมื่อวันที่ 27 มกราคม
ร่าง EO กำหนดให้มีการทบทวน 60 วัน 3 ครั้ง และทบทวนความสามารถทางไซเบอร์ต่างๆ 100 วัน 1 ครั้ง
ตัวอย่างเช่น บันทึกเบื้องต้นระบุว่าภายในสองเดือน รัฐมนตรีกระทรวงกลาโหมจะต้องส่งคำทบทวนและคำแนะนำเบื้องต้นถึงประธานาธิบดีเกี่ยวกับวิธีที่ดีที่สุดในการปกป้องระบบความมั่นคงของชาติ และวิธีเพิ่มการป้องกันระบบสำคัญที่ดำเนินการโดยหน่วยงานพลเรือนและโครงสร้างพื้นฐานของภาคเอกชน บริษัท.
ส่วนอื่นของร่าง EO ต้องการคำแนะนำภายใน 100 วันเพื่อให้ภาคเอกชนนำการป้องกันทางไซเบอร์มาใช้ได้ดีที่สุด
ส่วนที่สามต้องการให้มีการตรวจสอบศัตรูทางไซเบอร์ของประเทศ รวมถึงความสามารถและความเปราะบางภายใน 60 วัน
“ฉันเชื่อว่าเป็นเรื่องรอบคอบสำหรับฝ่ายบริหารชุดใหม่ที่จะทำการตรวจสอบความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์ การประเมินภัยคุกคามและความเปราะบางเป็นวิธีการที่เหมาะสมและสอดคล้องกับแนวทางตำราในการแก้ปัญหา เราควรประเมินความเสี่ยงของเราอย่างต่อเนื่อง” Touhill กล่าวในอีเมลถึง Federal News Radio เมื่อวันที่ 27 มกราคม “โชคดีที่พวกเขาไม่ได้เริ่มต้นจากการหยุดนิ่ง พื้นที่ตรวจสอบแต่ละแห่งมีข้อมูลจำนวนมากอยู่แล้วจาก Cyber Sprint, Cybersecurity National Action Planของรัฐบาลชุดที่แล้วและความพยายามในการประเมินทรัพย์สินที่มีมูลค่าสูง นอกจากนี้ กลยุทธ์ Cybersecurity Workforce ซึ่งออกในเดือนกรกฎาคม 2016 และข้อมูลที่รวบรวมในการเตรียมการควรมีส่วนช่วยในการตรวจสอบที่เสนออย่างกว้างขวาง ฉันหวังว่าพวกเขาจะใช้ประโยชน์จากข้อมูลที่มีอยู่ทั้งหมด”
ข่าวความปลอดภัยทางไซเบอร์เพิ่มเติม
กว่าครึ่งของพื้นที่ที่มีความเสี่ยงสูงของ GAO เกิดจากช่องว่างด้านทักษะที่สำคัญ AGENCY OVERSIGHT
DHS เคลื่อนไหวเพื่อจัดการกับคำมั่นสัญญาและอันตรายของ ปัญญาประดิษฐ์ AI
นักรบไซเบอร์ของสหรัฐขัดขวางความพยายามในการแฮ็คข้อมูลการเลือกตั้งของอิหร่านในปี 2563
การตัดสินใจของฝ่ายบริหารของทรัมป์ในการพัฒนาคำสั่งความปลอดภัยทางไซเบอร์ของตนเองนั้นไม่น่าแปลกใจ แต่ก็ยังน่าผิดหวัง
โดยเฉพาะปัญหาเกี่ยวกับเครือข่ายหน่วยงานของรัฐบาลกลางนั้นเป็นที่ทราบกันดี ฝ่ายบริหารของโอบามาได้บันทึกไว้อย่างดีในรายงานสถานะของรัฐบาลกลางด้านไอที
