หนึ่งในวลีสำคัญจากกลยุทธ์ Federal Acquisition Supply Chain Councilในปี 2019 คือการยอมรับเพียงครั้งเดียวว่า “ก่อนที่จะมีการบังคับใช้พระราชบัญญัติเทคโนโลยีที่ปลอดภัย [ในปี 2018] ไม่มีโครงสร้างแบบรวมศูนย์สำหรับการรวมกิจกรรมการจัดการความเสี่ยงของห่วงโซ่อุปทานของรัฐบาลกลาง (SCRM) ”กว่าสามปีต่อมา ดูเหมือนว่าความพยายามในการรวมความพยายามในการจัดการความเสี่ยงของห่วงโซ่อุปทานกำลังดิ้นรน
ในกรณีตั้งแต่เดือนพฤศจิกายน หน่วยงานอย่างน้อย 6 แห่ง
ได้ออกประกาศหรือขอข้อมูล/ข้อเสนอไปยังภาคอุตสาหกรรมเพื่อขอความคิดเห็นเกี่ยวกับวิธีการดำเนินการเพิ่มเติมเพื่อปกป้องห่วงโซ่อุปทานของตน
จากหน่วยงานบริการทั่วไป กองบัญชาการกองทัพ ไปจนถึงกระทรวงความมั่นคงแห่งมาตุภูมิ ดูเหมือนว่าจะมีการรับรู้อย่างกว้างขวางว่าไม่ว่าหน่วยงานใดกำลังดำเนินการอยู่ในปัจจุบัน มันยังไม่เพียงพอ
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
ประกาศแต่ละฉบับพยายามระบุแง่มุมต่างๆ ของความท้าทายนี้ แต่ประเด็นหลักทั่วไปนั้นชัดเจน: ข้อมูลมากขึ้น ความช่วยเหลือมากขึ้น และทุกสิ่งที่จำเป็นมากขึ้นเพื่อจัดการกับความท้าทายที่เพิ่มมากขึ้นนี้
“ความจำเป็นในการตรวจสอบความเสี่ยงของห่วงโซ่อุปทานได้รับการเน้นย้ำระหว่างการละเมิดความปลอดภัยทางไซเบอร์ในปี 2020 ซึ่งระบบเทคโนโลยีสารสนเทศ (IT) ของรัฐบาลกลางหลายระบบถูกบุกรุกโดยผู้ไม่หวังดีจากต่างประเทศ รายงานเบื้องต้นเชื่อว่าผู้ไม่หวังดีจากต่างประเทศใช้ช่องโหว่ในห่วงโซ่อุปทานของผลิตภัณฑ์เทคโนโลยีสารสนเทศและการสื่อสาร (ICT) ที่ใช้กันอย่างแพร่หลายหลายรายการ” ศูนย์สำหรับ Medicare และ Medicare Services เขียนใน RFI เมื่อวันที่ 28 มกราคม. “แม้ว่าแนวปฏิบัติในการจัดการห่วงโซ่อุปทานจะฝังแน่นอยู่ในนโยบายและขั้นตอนการเข้าซื้อกิจการของรัฐบาลกลาง แต่ผลิตภัณฑ์และบริการบางอย่างจำเป็นต้องได้รับการตรวจสอบอย่างละเอียดยิ่งขึ้นเนื่องจากความเสี่ยงโดยธรรมชาติที่สำคัญที่เกี่ยวข้องกับห่วงโซ่อุปทานของตน กฎหมายล่าสุดและการดำเนินการของผู้บริหารได้เพิ่มความจำเป็นในการตรวจสอบข้อเท็จจริงที่เพิ่มขึ้นในการได้มาซึ่ง ICT และส่วนประกอบของระบบไฟฟ้า”
ความพยายามล่าสุดมาจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ
จะเผยแพร่ RFIในวันอังคารเพื่อขอความคิดเห็นเกี่ยวกับวิธีการอัปเดต Cybersecurity Framework ทั้งโดยทั่วไปและโดยเฉพาะอย่างยิ่งเกี่ยวกับการจัดการความเสี่ยงของห่วงโซ่อุปทาน
NIST กำลังถามคำถามเฉพาะ 4 ข้อเกี่ยวกับ C-SCRM และ National Initiative for Improving Cybersecurity in Supply Chains (NIICS) ซึ่งเปิดตัวเมื่อเดือนสิงหาคมปีที่แล้ว
ในบรรดาคำถามที่ NIST กำลังมองหาความคิดเห็นเกี่ยวกับความท้าทายที่ยิ่งใหญ่ที่สุดของ C-SCRM แนวทาง เครื่องมือ มาตรฐานและแนวทางที่เป็นไปได้ และวิธีการที่ดีที่สุดในการบูรณาการความพยายามทางไซเบอร์เหล่านี้เข้าด้วยกัน
CMS ค้นหาข้อมูลเพื่อต่อสู้กับภัยคุกคาม
ความคิดริเริ่มอื่น ๆ มุ่งเน้นไปที่การแก้ปัญหาเฉพาะหน่วยงาน
CMS กำลังมองหาความช่วยเหลือเป็นการภายในโดยเฉพาะเกี่ยวกับการระบุและใช้ความสามารถ ซึ่งจะช่วยให้พวกเขาบรรเทาภัยคุกคามที่เป็นอันตรายที่อาจเกิดขึ้นจากโค้ดในฮาร์ดแวร์และซอฟต์แวร์ ตลอดจนผลิตภัณฑ์ลอกเลียนแบบ
“รัฐบาลสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับ (1) ข้อมูลการตรวจสอบสถานะความเสี่ยงของห่วงโซ่อุปทานที่จะมอบให้; และ (2) เครื่องมือ ผลิตภัณฑ์ หรือโซลูชันระบบที่ใช้ในการส่งข้อมูลการตรวจสอบสถานะ” RFI ระบุ
อ่านเพิ่มเติม: สมุดบันทึกของนักข่าว
กำหนดเวลาสำหรับ CMS RFI คือวันที่ 15 กุมภาพันธ์
RFI ล่าสุดของ GSA มุ่งเน้นมากขึ้นในสัญญาต่างๆ และเชื่อมต่อโดยตรงกับความพยายามของ Federal Acquisition Security Council (FASC)
“GSA กำลังมองหาข้อมูลห่วงโซ่อุปทานในโลกไซเบอร์เพื่อกำหนดและรวมข้อกำหนดการควบคุมความปลอดภัยของห่วงโซ่อุปทานในโลกไซเบอร์ที่เกี่ยวข้องกับผลิตภัณฑ์ ICT และ/หรือบริการที่เสนอในตลาด GSA” GSA ระบุใน RFI เมื่อเดือนมกราคมที่ผ่านมา “ข้อมูลที่ขอใน RFI นี้จะให้คำแนะนำในการ
Credit : ยูฟ่าสล็อต