แม้กระทั่งสำหรับชุมชนข่าวกรอง การจัดการความเสี่ยงก็ไม่ใช่เรื่องง่ายสำนักงานข่าวกรองภูมิสารสนเทศแห่งชาติกำลังพยายามหลีกเลี่ยงความเสี่ยงของห่วงโซ่อุปทานสำนักงานลาดตระเวนแห่งชาติให้ความสำคัญกับการดำเนินการตามกรอบการบริหารความเสี่ยงทั้งสองหน่วยงานอยู่ระหว่างการขยายและกำหนดแนวทางด้านความปลอดภัยทางไซเบอร์ Insight by Tanium: เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น
เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผย
ว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร
Chris Brown รอง CISO ของ NGA กล่าวว่าเป้าหมายคือ “ตามให้ทัน” ในการนำกระบวนการและเครื่องมือการจัดการความเสี่ยงด้านซัพพลายเชนมาใช้
เขากล่าวว่าอาจไม่มีเงินจำนวนมากในขณะนี้ แต่มีสิ่งที่ NGA สามารถทำได้ในภารกิจและหน้าที่สนับสนุนเพื่อจัดการกับข้อกังวลที่เพิ่มขึ้นนี้
และเมื่อเดือนเมษายนเป็นเดือนแห่งความสมบูรณ์ ของห่วงโซ่อุปทาน ชุมชนข่าวกรองจึงให้ความสำคัญเป็นพิเศษในการลดภัยคุกคาม
ในเดือนกุมภาพันธ์ National Counterintelligence and Security Center ได้ออกNational Counterintelligence Strategy of the United States of America, 2020-2022ซึ่งระบุว่าการลดภัยคุกคามต่อห่วงโซ่อุปทานเป็นหนึ่งในห้าวัตถุประสงค์หลัก
กลยุทธ์ดังกล่าวเน้นย้ำสามขั้นตอนที่รัฐบาลจะดำเนินการในช่วงสามปีข้างหน้า รวมถึงการบูรณาการความสามารถในการจัดการความเสี่ยงด้านซัพพลายเชนและกระบวนการต่างๆ ในตลาดกลาง
“เราจะสร้างพื้นที่เก็บข้อมูลที่ใช้ร่วมกันสำหรับการประเมินความเสี่ยงของห่วงโซ่อุปทาน ระบุข้อบกพร่องในกระบวนการจัดซื้อของรัฐบาลกลางและแสวงหาหน่วยงานที่มีความคล่องตัวมากขึ้นเพื่อไม่รวมผู้ค้าที่มีความเสี่ยงสูง” กลยุทธ์ระบุ
บราวน์กล่าวว่า NGA กำลัง
มองหาวิธีการกลั่นกรองฮาร์ดแวร์และซอฟต์แวร์ที่เชื่อมต่อกับระบบของตน
“ในโลกของฉัน มีความสับสนว่ามันเป็นปัญหาข่าวกรองตอบโต้หรือปัญหาความปลอดภัยทางไซเบอร์? ฉันชอบพูดว่ามันเป็นปัญหาด้านไอที” บราวน์กล่าวระหว่างการอภิปรายล่าสุดที่งาน AFCEA NOVA IC IT day ซึ่งบันทึกไว้ในรายการ “Live Ask the CIO ” “หากคุณค้นหาในสำนักงานผู้อำนวยการ NGA คุณจะไม่เห็นสำนักงานบริหารความเสี่ยงด้านซัพพลายเชน และเราต้องการสิ่งนั้น”
Mike Ryan (ขวา) เป็นรองหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ NRO และ Chris Brown เป็นรอง CISO ของ NGA เป็นผู้ร่วมอภิปรายระหว่างงาน Live Ask the CIO ซึ่งดูแลโดยบรรณาธิการบริหารของ Federal News Network Jason Miller ที่งาน AFCEA NoVA IC IT day (เอื้อเฟื้อภาพซูซาน คอลฟีด)
เขาเสริมว่า NGA ให้ความสำคัญกับประเด็นใหญ่ๆ เช่น คำสั่งของผู้บริหารทำเนียบขาวที่ห้ามบริษัทจีนอย่าง ZTE และ Huawei รวมถึงความท้าทายในแต่ละวันที่มาพร้อมกับเทคโนโลยี
Mike Ryan รองหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ NRO กล่าวในคณะกรรมการชุดเดียวกันว่าการจัดการความเสี่ยงด้านซัพพลายเชนต้องลงไปที่ระดับชิป
“เราจำเป็นต้องพัฒนาวิธีการแบบ Zero Trust ให้มากขึ้น ซึ่งคุณสามารถติดตามและทำอะไรบางอย่างเกี่ยวกับเรื่องนี้ได้หลังจากที่คุณมีเทคโนโลยี เพราะคุณไม่สามารถบอกได้จริงๆ” เขากล่าว
ไรอันกล่าวว่า NRO กำลังใช้กรอบการจัดการความเสี่ยงเพื่อจัดการกับไม่เพียงแค่ความท้าทายในห่วงโซ่อุปทาน แต่ยังรวมถึงวิธีที่จะทำให้ระบบได้รับการรับรองและอนุมัติได้ง่ายขึ้น และเพิ่มระบบอัตโนมัติเพื่อให้แน่ใจว่าแอปพลิเคชันได้รับการตรวจสอบอย่างต่อเนื่อง
ส่วนหนึ่งของความพยายามนั้นคือแผนที่ความร้อนทางไซเบอร์ใหม่ที่ NRO ปรับใช้
