การเรียกร้องให้ปกป้องซัพพลายเชนเทคโนโลยีของหน่วยงานไม่ใช่เรื่องใหม่ ย้อนกลับไปในปี 2555 คณะกรรมาธิการการทหารของวุฒิสภาได้เผยแพร่รายงานเปิดหูเปิดตาเกี่ยวกับผลิตภัณฑ์อิเล็กทรอนิกส์ปลอมในกระทรวงกลาโหมเพนตากอนรับทราบปัญหาของปลอมและห่วงโซ่อุปทานย้อนหลังไปหลายทศวรรษ แต่พบว่าชิ้นส่วนเหล่านี้มีความผันผวนอย่างมากและแทรกซึมเข้าไปในระบบความมั่นคงของประเทศตั้งแต่ปี 2548
การละเมิดทางไซเบอร์ของ SolarWinds เมื่อเร็ว ๆ นี้ไม่ได้ทำ
ให้เห็นว่าความท้าทายนี้ซับซ้อนเพียงใด แต่ยังจำเป็นต้องหยุดจ้องมองที่ปัญหาและดำเนินการจริง
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
ในช่วงไม่กี่ปีที่ผ่านมา หน่วยงานต่าง ๆ ได้คิดและวางแผนมากมายด้วยการพัฒนามาตรฐาน Cybersecurity Maturity Model Certification (CMMC) และการจัดตั้ง Federal Acquisition Security Council (FASC) เป็นต้น แต่การเปลี่ยนแปลงที่แท้จริงได้เกิดขึ้นแล้ว ยากที่จะมาด้วย
Jon Boyens รองหัวหน้าแผนกความปลอดภัยคอมพิวเตอร์ของ National Institute of Standards and Technology กล่าวว่ารายงานปี 2018 โดย Ponemon Institute พบว่า 66% ของบริษัทไม่มีสินค้าคงคลังของบุคคลที่สามที่ครอบคลุม รายงานของ Ponemon ในปี 2019 พบว่าต้นทุนเฉลี่ยของการโจมตีห่วงโซ่อุปทานอยู่ที่ 7.5 ล้านดอลลาร์ และมากกว่า 50% ของผู้ตอบแบบสอบถามทั้งหมดรายงานว่ามีการละเมิดในช่วงสองปี
“แม้กระทั่งตอนนี้ เมื่อเราพูดถึงการจัดการความเสี่ยงด้านซัพพลายเชน
มันก็เหมือนกับเป็นการกำหนดระดับหนึ่ง มันหมายถึงสิ่งต่าง ๆ สำหรับคนที่แตกต่างกัน บางคนยังไม่เข้าใจความเกี่ยวข้องของมัน หรือพวกเขามองว่าแง่มุมต่างๆ เป็นปฏิปักษ์อย่างมาก” Boyens กล่าวในงานซัพพลายเชนล่าสุดที่สนับสนุนโดย FCW
นี่คือเหตุผลที่หลายคนเชื่อว่าการละเมิดห่วงโซ่อุปทานของ SolarWinds ในที่สุดจะทำให้รัฐบาลและอุตสาหกรรมดำเนินการอย่างเด็ดขาดและรวดเร็วยิ่งขึ้น
ตัวแทน John Katko (RN.Y.) สมาชิกอันดับของคณะกรรมการความมั่นคงแห่งมาตุภูมิ อธิบายถึงความปรารถนาที่จะดำเนินการจริงและไม่ใช่แค่จ้องมองปัญหาในจดหมายวันที่ 19 มกราคมถึง Cybersecurity and Infrastructure Security Agency ในแผนก ของความมั่นคงแห่งมาตุภูมิ
“ฉันยังคงกังวลว่า Federal Acquisition Security Council ยังไม่มีความคืบหน้าอย่างรวดเร็วพอที่จะใช้ความสามารถในการใช้ประโยชน์จากอำนาจหน้าที่ของตนจากกฎหมาย SECURE Technology Act” Katko เขียนถึงรักษาการผู้อำนวยการ CISA Brandon Wales “เราเข้าใจดีว่า CISA กำลังพัฒนากรอบการวิเคราะห์ที่จะช่วยแนะนำว่า FASC จะพิจารณาการตัดสินความเสี่ยงอย่างไร ในฐานะสมาชิกของสภาและหน่วยงานแบ่งปันข้อมูลที่ได้รับมอบหมายของ FASC CISA เป็นหน้าที่ของ CISA เพื่อให้แน่ใจว่าคำแนะนำทั้งหมดคำนึงถึงโอกาสการโจมตีที่หลากหลายในห่วงโซ่อุปทาน การเปิดเผยล่าสุดเกี่ยวกับการรณรงค์ทางไซเบอร์เพื่อต่อต้าน SolarWinds และหน่วยงานอื่น ๆ ได้ตอกย้ำความสำคัญพื้นฐานของซอฟต์แวร์ที่ปลอดภัยสำหรับการจัดการความเสี่ยงด้านห่วงโซ่อุปทานของเทคโนโลยีสารสนเทศและการสื่อสารโดยรวม (ICT)
FASC ยังคงเริ่มต้น
FASC ใช้เวลากว่าสองปีในการสร้าง ประธานาธิบดีโดนัลด์ ทรัมป์ลงนามในกฎหมายว่าด้วยความปลอดภัยในห่วงโซ่อุปทานของการได้มาซึ่งรัฐบาลกลางปี 2018 ซึ่งเป็นส่วนหนึ่งของพระราชบัญญัติเทคโนโลยีความปลอดภัย สภาได้สรุปแผนกลยุทธ์กฎบัตร และออกกฎชั่วคราวโดยระบุรายละเอียดว่าจะแบ่งปันข้อมูลความเสี่ยงด้านห่วงโซ่อุปทานอย่างไร และการลบคำแนะนำหรือการยกเว้นผลิตภัณฑ์หรือเทคโนโลยีที่เฉพาะเจาะจง
