ข้อมูลที่สำคัญที่สุดในรายงานการกำหนดความเสี่ยงทางไซเบอร์ที่เผยแพร่เมื่อกลางเดือนพฤษภาคมโดยสำนักบริหารและงบประมาณ ไม่ใช่ข้อมูลของรัฐบาลใน 96 หน่วยงาน หรือแม้แต่แผนการรวมศูนย์ปฏิบัติการด้านความปลอดภัยทั่วทั้งภาครัฐ จุดเด่นที่สำคัญที่สุดในรายงานซึ่งบังคับใช้ภายใต้คำสั่งฝ่ายบริหารทางไซเบอร์ในเดือนพฤษภาคม 2560 ที่ลงนามโดยประธานาธิบดีโดนัลด์ ทรัมป์คือความสามารถในการใช้ข้อมูลเพื่ออธิบายให้ผู้บริหารที่ไม่ใช่ฝ่ายไอทีทราบว่าเหตุใดจึงต้องใช้เงิน
การดำเนินการใดที่จำเป็น ดำเนินการและเหตุใดพวกเขาจึงต้องรับผิดชอบ
ต่อความท้าทายทางไซเบอร์ที่กำลังดำเนินอยู่เหล่านี้“ยังมีงานอีกมากที่ต้องทำ และ OMB จะทำงานร่วมกับหน่วยงานต่าง ๆ เพื่อเน้นย้ำอย่างต่อเนื่องในการปรับปรุงการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ ความพยายามหลายอย่างเหล่านี้จะได้รับการแก้ไขบางส่วนผ่านกระบวนการงบประมาณที่กำลังจะมาถึง ซึ่งจะใช้รายงานความเสี่ยงเพื่อผลักดันการลงทุนเชิงกลยุทธ์ที่ออกแบบมาเพื่อซื้อระดับความเสี่ยงโดยรวมของรัฐบาลกลาง” Suzette Kent หัวหน้าเจ้าหน้าที่สารสนเทศของรัฐบาลกลางกล่าวและGrant Schneiderรักษาการหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางและผู้อำนวยการอาวุโสด้านนโยบายความปลอดภัยทางไซเบอร์ใน National Security Council ในบล็อกโพสต์
ที่ปรึกษาอาวุโสของ OMB กล่าวว่าข้อมูลในรายงานนี้ไม่ใช่ข้อมูลใหม่แต่อย่างใด ผู้ตรวจสอบของหน่วยงานทั่วไปเผยแพร่ในรายงาน Federal Information Security Management (FISMA) ประจำปีต่อรัฐสภา
“นี่ไม่ใช่ครั้งแรกที่เรามีมุมมองเกี่ยวกับความเสี่ยงนี้ แต่เป็นครั้งแรกที่เราแบ่งปันมุมมองนั้นทั่วทั้งรัฐบาล” ที่ปรึกษากล่าว “ในอดีต มันเป็นแบบตัวต่อตัวกับเอเจนซี่มากกว่า สิ่งที่เราอยากทำและประธานาธิบดีต้องการให้เราทำ นั่นคือการกำหนดจุดเริ่มต้นของเราเป็นพื้นฐาน จากนั้นจึงเริ่มก้าวไปข้างหน้า”
ข้อมูลการแลกเปลี่ยนอุตสาหกรรมของ Federal News Network:
คุณใช้ประโยชน์จากข้อมูลอย่างเต็มที่เพื่อขับเคลื่อนการเปลี่ยนแปลงในหน่วยงานของคุณหรือไม่? เข้าร่วมกับเราในวันที่ 8 พฤษภาคมเพื่อค้นพบเทคนิคและเทคโนโลยีล่าสุดที่จะช่วยให้ทำเช่นนั้นได้
ความแตกต่างในที่นี้คือความชัดเจนว่าปัญหาคืออะไรและวางแผนที่จะแก้ไข และนี่เป็นสิ่งสำคัญอย่างยิ่งเนื่องจากข้อกังวลเกี่ยวกับการขาดผู้นำทางไซเบอร์ของรัฐบาล ที่รวมศูนย์ โดยไม่มีชื่อผู้ประสานงานทางไซเบอร์หรือ CISO ของรัฐบาลกลางที่ถาวร
“สิ่งที่คุณจะได้เห็นจากหนึ่งในการประเมินความเสี่ยงที่ครอบคลุมมากที่สุดจาก 96 หน่วยงาน มันขึ้นอยู่กับเฟรมเวิร์กไซเบอร์ NIST ที่ได้รับการปรับปรุง และพวกเขามีความเข้าใจที่ดีขึ้นมากเกี่ยวกับจักรวาลและการเติบโตทางไซเบอร์ของแต่ละหน่วยงานเหล่านั้น” Trevor Rudolphเพื่อนร่วมงานด้านนโยบายความปลอดภัยทางไซเบอร์ของ New America และอดีตหัวหน้าฝ่ายไซเบอร์และความมั่นคงแห่งชาติของ OMB กล่าว ทีมและตอนนี้เป็นเพื่อนร่วมงานด้านนโยบายความปลอดภัยทางไซเบอร์ที่ New America ซึ่งเป็นคลังสมอง “ไม่ใช่แค่การทำความเข้าใจวุฒิภาวะของแต่ละหน่วยงานเท่านั้น แต่ยังคำนึงถึงวุฒิภาวะนั้นด้วยเมื่อพิจารณาระดับทรัพยากรที่เหมาะสม นั่นอาจเป็นไฮไลท์จากความคืบหน้าของ EO โดยเฉพาะอย่างยิ่ง”
รายงานพบว่าหน่วยงานต่างๆ มีปัญหาในการระบุ ตรวจจับการตอบสนอง และหากจำเป็น ให้กู้คืนจากเหตุการณ์ทางไซเบอร์ OMB พบว่า 71 หน่วยงานจาก 96 หน่วยงาน (ร้อยละ 74) ที่เข้าร่วมในกระบวนการนี้มีโปรแกรมความปลอดภัยทางไซเบอร์ที่ “มีความเสี่ยง” หรือ “มีความเสี่ยงสูง”
“OMB และแผนกความมั่นคงแห่งมาตุภูมิยังพบว่าหน่วยงานของรัฐบาลกลางไม่มีความพร้อมในการพิจารณาว่าผู้คุกคามพยายามเข้าถึงข้อมูลของพวกเขาอย่างไร” รายงานระบุ “การประเมินความเสี่ยงแสดงให้เห็นว่าการขาดข้อมูลภัยคุกคามส่งผลให้การจัดสรรทรัพยากรทางไซเบอร์ที่จำกัดของหน่วยงานไม่ได้ผล สถานการณ์นี้ทำให้เกิดช่องว่างทั่วทั้งองค์กรในการมองเห็นเครือข่าย เครื่องมือไอทีและมาตรฐานความสามารถ และขั้นตอนการดำเนินงานทั่วไป ซึ่งทั้งหมดนี้ส่งผลเสียต่อความปลอดภัยทางไซเบอร์ของรัฐบาลกลาง”
