การเข้าซื้อกิจการของ DoD ‘ช้าโดยการออกแบบ’ ไม่สามารถจัดการการป้องกันความปลอดภัยทางไซเบอร์ได้

การเข้าซื้อกิจการของ DoD 'ช้าโดยการออกแบบ' ไม่สามารถจัดการการป้องกันความปลอดภัยทางไซเบอร์ได้

เดือนแห่งความปลอดภัยทางไซเบอร์ – 24 ตุลาคม 2017เครื่องเล่นเสียงใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงกระทรวงกลาโหมไม่ได้ถูกสร้างขึ้นเพื่อรับมือกับการป้องกันความปลอดภัยในโลกไซเบอร์ ระบบการซื้อกิจการได้รับการออกแบบมาเพื่อพัฒนาและจัดซื้อระบบอาวุธขนาดใหญ่ราคาแพง โดยยึดหลักการแข่งขัน ความโปร่งใส และความซื่อสัตย์ ซึ่งหมายความว่าไม่สามารถติดตามการป้องกันความปลอดภัยในโลกไซเบอร์ได้

“กระบวนการจัดหากลาโหมจะช้าโดยการออกแบบ” พ.ท. แดน โชนี

 ผู้ช่วยผู้พิพากษาประจำกองทัพอากาศกล่าวในเดือนแห่งความมั่นคงทางไซเบอร์ “และนั่นเป็นเรื่องที่เข้าใจได้อย่างสมบูรณ์ เมื่อคุณใช้จ่ายเงินของคนอื่นหลายพันล้านดอลลาร์ สิ่งแรกในใจของผู้เสียภาษีคือการฉ้อฉล สิ้นเปลือง และการใช้ในทางที่ผิด พวกเขากังวลว่า ‘เงินภาษีของเราไปไหน’ ดังนั้นระบบจึงถูกสร้างขึ้น ถูกบิดเบือนไปในหลักการที่ครอบคลุม”

แต่การใช้เวลา 7-10 ปีในการพัฒนาเครื่องบินรบหรือระบบอาวุธใหม่ก็เป็นเรื่องหนึ่ง การใช้เวลานานขนาดนั้นเพื่อพัฒนาระบบความปลอดภัยทางไซเบอร์ก็เป็นอีกเรื่องหนึ่ง ไม่สามารถติดตามความเร็วของการโจมตีได้ น้อยกว่าความเร็วที่สภาพแวดล้อมของภัยคุกคามพัฒนาขึ้นเอง

Schoeni กล่าวว่าสภาคองเกรสได้พยายามช่วยเหลือโดยการขยายอำนาจหน้าที่ในการจัดซื้อเทคโนโลยีความปลอดภัยทางไซเบอร์ ซึ่งรวมถึงการซื้ออย่างรวดเร็วและการจัดซื้อในกรณีฉุกเฉินพิเศษ แต่ก็ไม่มีใครทำได้เพียงพอ

“อย่างน้อยด้วยคณิตศาสตร์ที่ฉันทำในการวิจัยของฉันเอง 97 เปอร์เซ็นต์

ของเงินที่ DoD ใช้ในการซื้อกิจการทางไซเบอร์นั้นถูกใช้ไปภายใต้กระบวนการเก่า ซึ่งเป็นวงจรการซื้อกิจการเจ็ดถึง 10 ปี มีเพียง 3 เปอร์เซ็นต์เท่านั้นที่ได้รับผลกระทบจากการเปลี่ยนแปลงเหล่านี้” Schoeni บอกกับFederal Driveกับ Tom Temin “ปัญหาอีกประการหนึ่งคือมาตรการทั้งสองนี้มุ่งเน้นไปที่การป้องกันและการกู้คืนอย่างแท้จริง และสำหรับไซเบอร์ ถ้าคุณอนุมัติเงินให้ใช้ในชั่วโมงที่ 11 จริงๆ มันก็สายเกินไปแล้ว”

โดยพื้นฐานแล้ว เมื่อถึงเวลาที่สภาคองเกรสจะอนุมัติเงินมากกว่านี้ มันก็สายเกินไปแล้ว

แต่วัฒนธรรมที่ DoD กำลังทำงานต่อต้านการได้มาซึ่งความปลอดภัยทางไซเบอร์อย่างรวดเร็ว ส่วนใหญ่เป็นเพราะหน่วยงานคุ้นเคยกับการพัฒนาซอฟต์แวร์ด้วยวิธีใดวิธีหนึ่ง แต่เนื่องจากนโยบายดังกล่าวมีผลบังคับใช้ การพึ่งพาซอฟต์แวร์ของ DoD สำหรับการทำงานของระบบอาวุธจึงเพิ่มขึ้นถึง 90 เปอร์เซ็นต์ ตามรายงานปี 2552จากคณะกรรมการวิทยาศาสตร์กลาโหม

“การป้องกันเป็นเรื่องยากมากในโลกไซเบอร์” Schoeni กล่าว “มันถูกจริงๆ โจมตีง่ายจริงๆ ฉันได้ยินผู้เชี่ยวชาญกล่าวว่าในสองสามชั่วโมง พวกเขาสามารถสอนคุณเกี่ยวกับวิธีการโจมตีทางไซเบอร์เบื้องต้นได้ ดังนั้นมันจึงถูกมากที่จะโจมตี แต่ป้องกันยากจริงๆ ดังนั้น ในแง่นั้น การป้องกันที่ดีที่สุดคือการรุกที่ดี การป้องกันการโจมตีทางไซเบอร์ที่ดีที่สุดคือการสร้างคลังแสง คลังแสงที่อันตราย เพื่อไม่ให้ใครกล้าโจมตีเรา หากเรามุ่งเน้นไปที่การป้องกันและการกู้คืน มันก็สายเกินไปแล้ว”

เขากล่าวว่าสัญญาเวลาและวัสดุสามารถใช้ควบคู่กับอไจล์เพื่อพัฒนาแนวทางการพัฒนาซอฟต์แวร์แบบวนซ้ำ สร้างและปรับแต่งได้ แต่สภาคองเกรสยังไม่ได้เข้าร่วมกับแนวคิดดังกล่าว

“มีการพูดคุยกันมากมายเกี่ยวกับอไจล์ แต่เมื่อพูดถึงเรื่องนี้ สภาคองเกรสชอบที่จะมีการวางแผนล่วงหน้าหลายปี และชอบที่จะรู้ว่ากระทรวงกลาโหมกำลังทำอะไรอยู่ และสิ่งนี้ไม่ได้ผลดีในโลกไซเบอร์ที่สิ่งต่าง ๆ เปลี่ยนแปลงอย่างรวดเร็วและยากที่จะวางแผนล่วงหน้า” Schoeni กล่าว

credit : สล็อตออนไลน์ / สล็อตยูฟ่าเว็บตรง