บางอย่างผิดปกติเกี่ยวกับการรักษาความปลอดภัยในโลกไซเบอร์ในปี 2021 และเกี่ยวข้องกับวิธีที่องค์กรต่างๆ กำลังเข้าใกล้การปกป้องเครือข่ายของตนหมดยุคแล้วที่หน่วยงานรัฐบาลและบริษัทต่างๆ สามารถใช้แนวทาง “ปราสาทและคูเมือง” เพื่อความปลอดภัยในโลกไซเบอร์ ซึ่งเมื่อมีคนเข้าถึงเครือข่ายได้ พวกเขาก็มีสิทธิ์เป็นอิสระข้อมูลของ Helen Patton หัวหน้าที่ปรึกษาด้านความปลอดภัยข้อมูลของ Duo Security องค์กรต่างๆ จำเป็นต้องมีความสงสัยมากขึ้นเมื่อพูดถึงการเข้าถึงเครือข่าย ซึ่งเป็นแนวคิดที่เรียกว่า Zero trust
“สิ่งที่ Zero trust พยายามทำคือเปลี่ยนปรัชญาที่บอกว่าเราสามารถเชื่อใจ
คุณได้โดยเนื้อแท้เพราะตัวตนของคุณหรืออุปกรณ์ที่คุณใช้ หรือโดยเฉพาะอย่างยิ่งตำแหน่งที่คุณมาจาก” Patton กล่าวในการอภิปรายที่สนับสนุนโดย ดูโอ ซิเคียวริตี้ “แต่เราต้องยืนยันอย่างต่อเนื่องว่าคุณเป็นอย่างที่คุณพูด สิ่งที่คุณทำนั้นน่าเชื่อถือ และเราต้องสามารถดำเนินการได้ทันทีหากมีอะไรเปลี่ยนแปลงเกี่ยวกับโปรไฟล์ความน่าเชื่อถือของคุณที่ก่อให้เกิดความกังวล”
ทำเนียบขาวกำลังกระโดดเข้าสู่แนวคิดนี้และส่งคำสั่งผู้บริหารเดือนพฤษภาคม 2564 เรื่อง “การปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศ”
“การปรับปรุงที่เพิ่มขึ้นจะไม่ให้ความปลอดภัยที่เราต้องการ รัฐบาลกลางจำเป็นต้องทำการเปลี่ยนแปลงอย่างกล้าหาญและลงทุนครั้งใหญ่เพื่อปกป้องสถาบันสำคัญที่ค้ำจุนวิถีชีวิตของชาวอเมริกัน” คำสั่งอ่าน “รัฐบาลกลางต้องแบกรับขอบเขตเต็มรูปแบบของอำนาจหน้าที่และทรัพยากรของตนเพื่อปกป้องและรักษาความปลอดภัยให้กับระบบคอมพิวเตอร์ ไม่ว่าจะเป็นระบบคลาวด์ ในสถานที่ หรือแบบไฮบริด”
แพตตันกล่าวว่าคำสั่งของทำเนียบขาวเป็นหนึ่งในคำสั่งแรก ๆ
ที่พูดถึงเรื่องความไม่ไว้วางใจเป็นศูนย์ และหน่วยงานไม่กี่แห่งจะรับผิดชอบหลักในการทำให้มั่นใจว่ามีการปฏิบัติตาม ซึ่งรวมถึงกระทรวงความมั่นคงแห่งมาตุภูมิและหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน แต่ยังรวมถึงกระทรวงกลาโหมด้วย
“นี่เป็นหนึ่งในคำสั่งแรกที่จะเชื่อมโยงหน่วยงานด้านการบริหารกับหน่วยงานด้านการป้องกัน ดังนั้นจึงเริ่มมีสะพานเชื่อมระหว่างสิ่งที่เราเห็นในกองทัพ ซึ่งผมเรียกอย่างหลวมๆ ว่าหน่วยงานที่น่ารังเกียจ และกับหน่วยงานด้านการบริหารภายใน” แพตตันกล่าว “สิ่งนี้จำเป็นจริงๆ เพราะสิ่งที่พวกเขาตระหนักว่าหน่วยงานทั้งหมดเชื่อมต่อกัน และหากหนึ่งในหน่วยงานเหล่านั้นมีการควบคุมความปลอดภัยทางไซเบอร์ที่อ่อนแอ ซึ่งจะกลายเป็นสถานที่ที่ผู้โจมตีอาจส่งผลกระทบต่อทรัพย์สินเชิงกลยุทธ์ของเรา”
Patton กล่าวว่ามีขั้นตอนต่อไปอีกหลายขั้นตอนที่ฝ่ายบริหารจำเป็นต้องดำเนินการเพื่อให้แน่ใจว่าความไว้วางใจเป็นศูนย์จะฝังแน่นอยู่ในมาตรฐานความปลอดภัยทางไซเบอร์ของรัฐบาล มีบางอย่างที่ชัดเจนในคำสั่ง เช่น การยืนยันตัวตนแบบหลายปัจจัย หน่วยงานต่างๆ ถูกขอให้สร้างแผน aa สำหรับการรับรองความถูกต้องด้วยหลายปัจจัยภายในหกเดือนหลังจากมีคำสั่ง
“ในวงกว้างกว่านั้น ความไม่ไว้วางใจเป็นศูนย์ไม่ใช่คำที่เข้าใจกันทั่วไป” Patton กล่าว “ฉันคิดว่ารัฐบาลกลางจะต้องทำงานร่วมกันระหว่างหน่วยงานต่างๆ และนี่คือที่ที่ CISA จะเป็นหน้าที่ในการประสานงานนั้น เพื่อตกลงในสิ่งที่พวกเขาหมายถึงโดยไม่ไว้วางใจ พวกเขาจำเป็นต้องเห็นพ้องต้องกันในเรื่องลำดับความสำคัญ ซึ่งพวกเขาจะใช้ปรัชญาการไว้วางใจเป็นศูนย์ เพราะมันไม่ใช่เครื่องมือ คุณไม่สามารถไปซื้อเครื่องมือที่ไม่มีความน่าเชื่อถือได้ มันเป็นองค์ประกอบทางสถาปัตยกรรมที่แตกต่างกันจำนวนหนึ่ง รวมถึงองค์ประกอบการฝึกอบรมสำหรับพนักงานของคุณ”
Patton กล่าวว่ารัฐบาลจะต้องจัดทำแผนยุทธศาสตร์เกี่ยวกับความไว้วางใจเป็นศูนย์ เธอกล่าวว่าเธอคาดหวังว่าสิ่งนี้จะเกิดขึ้นค่อนข้างเร็ว และสำหรับรัฐบาลที่จะรวมตัวกันตามคำสั่งภายในหกเดือนถึงหนึ่งปีข้างหน้า
อย่างไรก็ตาม ข้อเสียประการหนึ่งคือคำสั่งซื้อไม่ได้มาพร้อมกับเงินทุน ทำเนียบขาวจะต้องขึ้นอยู่กับผู้จัดสรรงบประมาณในการดำเนินการตามแผน
“ผมคิดว่าสภานิติบัญญัติมีความต้องการที่จะให้ทุนสนับสนุนงานประเภทนี้” แพตตันกล่าว “มีร่างกฎหมายด้านความปลอดภัยทางไซเบอร์จำนวนมากที่ต้องผ่านสภาคองเกรส ความท้าทายประการหนึ่งคือมีคนจำนวนมากที่รับผิดชอบการรักษาความปลอดภัยที่แตกต่างกัน มีคณะกรรมการที่แตกต่างกัน มีกลุ่มผลประโยชน์ที่แตกต่างกัน และพวกเขาทั้งหมดพยายามแก้ปัญหาส่วนนี้จากแง่มุมที่พวกเขาเป็นตัวแทน คำตอบสั้น ๆ คือ ‘ใช่ ฉันคิดว่าความอยากอาหารอยู่ที่นั่น’ แต่ฉันไม่แน่ใจว่าโครงสร้างอยู่ที่นั่นเพื่อให้สิ่งนั้นเกิดขึ้นอย่างรวดเร็วหรือสะอาดหรือไม่”
