ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneในที่สุด หน่วยงานต่างๆ ก็มีความเข้าใจพื้นฐานเกี่ยวกับภูมิทัศน์ของภัยคุกคามในห่วงโซ่อุปทานเทคโนโลยีของรัฐบาลกลางและหัวหน้าเจ้าหน้าที่ข้อมูล ผู้บริหารการซื้อกิจการ และคนอื่นๆ ไม่ควรรู้สึกดีกับสิ่งที่พวกเขาได้เรียนรู้
เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี
นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้นหน่วยงานด้านความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของหน่วยงานความมั่นคงแห่งมาตุภูมิแห่งหน่วยงานเทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ของหน่วยงาน จัดการความเสี่ยงด้านซัพพลายเชน ของกระทรวงความมั่นคงแห่งมาตุภูมิ ระบุภัยคุกคาม 190 รายการในเก้ากลุ่ม รวมถึงชิ้นส่วนปลอม ความปลอดภัยทางไซเบอร์ และเศรษฐกิจ
หน่วยงานเน้นย้ำภูมิประเทศของห่วงโซ่อุปทานซึ่งเป็นส่วนหนึ่งของรายงานระหว่างกาลและคำแนะนำ 4 ข้อที่เผยแพร่เมื่อสัปดาห์ที่แล้ว
“ฉันคิดว่าเป็นเรื่องสำคัญที่จะต้องจดบันทึกเกี่ยวกับขอบเขต กลุ่มมุ่งเน้นไปที่ภัยคุกคามแทนที่จะเป็นความเสี่ยง มีการสนทนากันมากมายในกลุ่มในหัวข้อนั้น เนื่องจากไม่จำเป็นต้องชัดเจนในทันทีว่าภัยคุกคามอาจจบลงที่ใดและความเสี่ยงอาจเริ่มต้นขึ้น ฉันคิดว่าวิธีที่ง่ายที่สุดในการอธิบายว่ากลุ่มคิดอย่างไรเกี่ยวกับการทำงานร่วมกัน นั่นคือพวกเขากำหนดความเสี่ยงเป็นจุดตัดระหว่างภัยคุกคามกับสินทรัพย์และความเปราะบาง” จอห์น มิลเลอร์ ประธานร่วมของคณะทำงานและรองประธานฝ่ายนโยบายกล่าว และที่ปรึกษาอาวุโสของสภาอุตสาหกรรมไอที “เมื่อมองผ่านเลนส์นั้น คุณจะเห็นได้ว่าทำไมงานของกลุ่มนี้จึงมีพื้นฐานมาก”
นอกเหนือไปจากภัยคุกคามแล้ว คณะทำงานได้สรุปสถานการณ์ 40 สถานการณ์
ที่แมปกับแต่ละกลุ่มจาก 9 กลุ่ม ซึ่งครอบคลุมทุกอย่างตั้งแต่การโจมตีด้วยแรนซัมแวร์ไปจนถึงความท้าทายในการประนีประนอมของผู้รับเหมา การเปลี่ยนแปลงความเป็นเจ้าของซัพพลายเออร์ไปจนถึงภัยพิบัติทางธรรมชาติ
“ในการสร้างสถานการณ์เหล่านั้น กลุ่มพิจารณาหลายประเภท รวมทั้งการทำงานร่วมกันของช่องโหว่เฉพาะในบริบทนั้น: ผลกระทบทางธุรกิจ กลยุทธ์การลดผลกระทบทางธุรกิจที่อาจเกิดขึ้น และการควบคุม” มิลเลอร์กล่าว “มันเป็นการวิเคราะห์เชิงบริบทสำหรับแต่ละคน”
ข้อมูลทั้งหมดนี้มาในเวลาที่การให้ความสำคัญและความกังวลเกี่ยวกับภัยคุกคามด้านซัพพลายเชนกำลังเพิ่มสูงขึ้น
สองตัวอย่างที่ชัดเจนที่สุดคือการห้ามผลิตภัณฑ์ของ Huawei และ ZTE ในเครือข่ายของรัฐบาลกลางและเครือข่ายผู้รับเหมาเมื่อช่วงต้นฤดูร้อนนี้ และการห้ามผลิตภัณฑ์และบริการของ Kaspersky Lab ในปี 2561
คณะทำงานระหว่างหน่วยงานดูโอทีแต่มันเป็นมากกว่าความเสี่ยงที่รู้จักกันดีเพียงไม่กี่อย่างJeanette Manfra ผู้ช่วยเลขานุการ DHS ด้านความปลอดภัยทางไซเบอร์ของ CISA กล่าวว่าห่วงโซ่อุปทานเป็นหนึ่งในสี่ลำดับความสำคัญสำหรับคณะทำงานระหว่างหน่วยงานที่มุ่งเน้นการเพิ่มความร่วมมือและการประสานงานเพื่อรักษาความปลอดภัยระบบควบคุมอุตสาหกรรมที่ดีขึ้น
“มันไม่ใช่วิธีแก้ปัญหาของคุณที่จะพูดว่า ‘ฉันหายใจไม่ออก’ เราทุกคนรู้ว่าคุณไม่มีช่องว่างทางอากาศ” Manfra กล่าวในการประชุมความปลอดภัยทางไซเบอร์ของ CISA เมื่อสัปดาห์ที่แล้ว “คุณต้องแน่ใจว่าคุณเข้าใจทั้งห่วงโซ่ฮาร์ดแวร์และซอฟต์แวร์ของระบบที่คุณกำลังจะนำไปใช้ และคุณเข้าใจสิ่งต่างๆ เช่น การเข้าถึง”
Manfra เสริมว่า เป็นมากกว่าการทำความเข้าใจซัพพลายเออร์หลักของฮาร์ดแวร์หรือซอฟต์แวร์ แต่ทำความรู้จักกับผู้ให้บริการระดับ 2, 3 และ 4 ตลอดจนความสัมพันธ์ทางธุรกิจและความเป็นเจ้าของ
“บางครั้งมันก็ยากที่จะเข้าใจอย่างสมบูรณ์ แต่มันสำคัญมากเมื่อคุณซื้ออุปกรณ์หรือระบบที่มีราคาแพงมาก คุณต้องบอกอย่างชัดเจนว่าใครก็ตามที่ขายสิ่งนั้นให้คุณว่าคุณต้องการการมองเห็นในระดับนั้น” เธอกล่าว “นั่นสามารถช่วยแก้ปัญหาสิ่งที่ฉันจะบอกว่าเป็นปัญหาห่วงโซ่อุปทานแต่ละรายการได้”
รายงานของหน่วยเฉพาะกิจพยายามให้ข้อมูลเชิงลึกแก่หน่วยงานและอุตสาหกรรมมากขึ้นในทุกระดับของห่วงโซ่อุปทาน
Bob Kolasky รองผู้อำนวยการศูนย์จัดการความเสี่ยงแห่งชาติของ CISA กล่าวว่าคำแนะนำของหน่วยงานมุ่งเน้นด้านกลยุทธ์และยุทธวิธีของการจัดการความเสี่ยงด้านห่วงโซ่อุปทาน
Credit : สล็อตยูฟ่าเว็บตรง
