เราทุกคนได้เห็นข่าวเมื่อเร็ว ๆ นี้ ดูเหมือนว่าการเปิดเผยเกี่ยวกับการโจมตีทางไซเบอร์และการละเมิดข้อมูลของสำนักงานบริหารงานบุคคล (OPM) ทวีความรุนแรงขึ้นเรื่อยๆ ซึ่งอาจเปิดเผยข้อมูลส่วนบุคคลของชาวอเมริกันมากถึง 22 ล้านคน (รวมถึงเหมืองด้วย) เหตุการณ์เหล่านี้ทำให้การปฏิรูปความปลอดภัยทางไซเบอร์กลายเป็นจุดสนใจในทุกระดับภายในรัฐบาลกลาง เริ่มจากรายงานการดำเนินการด้านความปลอดภัยทางไซเบอร์ ของ OPM ซึ่งระบุขั้นตอนที่พนักงานและผู้รับเหมาสามารถดำเนินการเพื่อปรับปรุงความปลอดภัยและปรับปรุงระบบให้ทันสมัย
ในเดือนมิถุนายน โทนี่ สก็อตต์ หัวหน้าเจ้าหน้าที่ฝ่ายข้อมูลของรัฐบาลกลาง
ได้สั่งให้ไซเบอร์สปรินต์เป็นเวลา 30 วันเพื่อรักษาความปลอดภัยเครือข่ายและข้อมูลของหน่วยงานในขณะที่รวบรวมทีมเสือ ซึ่งรวมถึงสำนักงานการจัดการและงบประมาณ (OMB) E-Gov Cyber Unit, National Security Council’s Cybersecurity Directorate กระทรวงกลาโหมและกระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) — เพื่อทบทวนนโยบายปัจจุบันและแนะนำกลยุทธ์ทางไซเบอร์อย่างเป็นทางการ
ในขณะเดียวกัน กระทรวงกลาโหมยังเผชิญกับคำถามเกี่ยวกับการขาดการปฏิบัติตามกฎข้อบังคับทางไซเบอร์ซึ่งทำให้เกิดคำถามว่า หน่วยงานต่างๆ จะทำความสะอาดการกระทำของตนและจัดการกับปัญหาด้านสุขอนามัยและการปฏิบัติตามข้อกำหนดในโลกไซเบอร์ได้อย่างไร
สกอตต์สรุปประเด็นสำคัญสำหรับการวิ่ง 30 วัน ซึ่งบางหน่วยงานประสบปัญหาในการนำมาใช้เป็นเวลาหลายปี
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
หลายพื้นที่เหล่านี้ได้รับการแก้ไขโดยธรรมชาติโดยการเปลี่ยนไปใช้สถานที่ทำงาน
ที่กำหนดโดยซอฟต์แวร์ ซึ่งรวมพลังของการจำลองเสมือน ความคล่องตัว และเครือข่ายเพื่อสร้างพื้นที่ทำงานของรัฐบาลที่ปลอดภัย สภาพแวดล้อมที่พนักงานของรัฐและผู้รับเหมาสามารถทำงานได้โดยไม่ตกเป็นเหยื่อของการโจมตีทางไซเบอร์ครั้งต่อไป .
ต่อไปนี้คือสิ่งพื้นฐานบางประการที่หน่วยงานสามารถทำได้เพื่อป้องกันตนเองจากการโจมตีทางไซเบอร์:
เร่งรัดการใช้บัตรยืนยันตัวตนส่วนบุคคล (PIV) และการยืนยันตัวตนแบบหลายปัจจัยในรูปแบบอื่นๆ พื้นที่ทำงานที่กำหนดโดยซอฟต์แวร์สามารถรองรับการ์ด PIV และการรับรองความถูกต้องด้วยหลายปัจจัยหลายรูปแบบในจุดสิ้นสุดต่างๆ (Win, OSX, Linux, iOS, Android, ศูนย์ไคลเอนต์) พื้นที่ทำงานเหล่านี้บางส่วนยังสามารถบังคับใช้การพิสูจน์ตัวตนแบบหลายปัจจัย/PIV สำหรับแอปพลิเคชัน Windows/เว็บที่ไม่ได้สร้างขึ้นมาสำหรับ PIV ตั้งแต่แรก ทำให้เอเจนซี่สามารถประหยัดต้นทุนการพัฒนาแอปที่เกี่ยวข้องกับการปฏิบัติตามคำสั่งการตรวจสอบสิทธิ์นี้สำหรับแอปรุ่นเก่าที่มีอยู่
ปกป้องข้อมูลที่เหลือและอยู่ระหว่างการขนส่ง พื้นที่ทำงานที่กำหนดโดยซอฟต์แวร์สามารถมั่นใจได้ว่าข้อมูลทั้งหมดระหว่างการขนส่งได้รับการเข้ารหัสโดยใช้อัลกอริทึมที่สอดคล้องกับมาตรฐานการประมวลผลข้อมูลของรัฐบาลกลาง (FIPS) 140-2 ทำให้สามารถเข้าถึงข้อมูลได้อย่างปลอดภัยผ่านเครือข่ายที่ไม่ปลอดภัย รวมถึงเว็บแอป เครือข่ายส่วนตัวเสมือน การเข้าถึงผ่านมือถือ หรือการเข้าถึงระยะไกลเสมือน . หน่วยงานต่างๆ ควรมองหาโซลูชันที่สามารถจำลองเสมือนได้อย่างสมบูรณ์ โดยไม่จำเป็นต้องใช้ข้อมูลใดๆ ที่ไม่มีการเคลื่อนไหวบนอุปกรณ์ของผู้ใช้ ซึ่งจะเป็นการลดการเปิดเผยข้อมูล ตัวอย่างเช่น เมื่อข้อมูลต้องถูกจัดเก็บไว้ภายในเครื่องเนื่องจากข้อกังวลเกี่ยวกับการเชื่อมต่อเครือข่าย (เช่น อุปกรณ์เคลื่อนที่) ข้อมูลทั้งหมดที่ไม่มีการเคลื่อนไหวยังสามารถเข้ารหัสโดยใช้อัลกอริทึมที่สอดคล้องกับ FIPS 140-2
credit : เว็บสล็อต / ยูฟ่าสล็อต เว็บตรง
