ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงระบบไอทีของรัฐบาลกลางจำนวนนับไม่ถ้วนอาจถูกทิ้งให้เสี่ยงต่อหนึ่งในข้อบกพร่องด้านความปลอดภัยทางไซเบอร์ที่ร้ายแรงที่สุดในประวัติศาสตร์เป็นเวลานานเกินความจำเป็น ไม่ใช่เพราะเจ้าหน้าที่ของรัฐบาลกลางไม่ทราบวิธีแก้ไข แต่เป็นเพราะไม่ชัดเจนว่าพวกเขา มีอำนาจตามกฎหมายที่จะทำเช่นนั้น
ช่อง โหว่ Heartbleedเกิดขึ้นจากข้อบกพร่องในการเขียนโปรแกรม
ใน OpenSSL ซึ่งเป็นระบบการเข้ารหัสรูปแบบต่างๆ ที่ใช้กันอย่างแพร่หลายซึ่งใช้เพื่อป้องกันปริมาณการใช้งานเว็บทั่วโลก นักวิจัยด้านความปลอดภัยประเมินว่าอาจส่งผลกระทบต่อเว็บเซิร์ฟเวอร์มากถึง 2 ใน 3 ของเว็บเซิร์ฟเวอร์ทั้งหมด และเอเจนซี่ก็ไม่ปลอดภัย ผู้ผลิตซอฟต์แวร์ได้ออกการแก้ไขเมื่อวันที่ 7 เมษายน ซึ่งเป็นวันเดียวกับที่ช่องโหว่ถูกเปิดเผยสู่สาธารณะ ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ใช้เวลาหลายชั่วโมงหลังจากนั้นเพื่อตรวจสอบว่าระบบของพวกเขาอาจมีข้อบกพร่องหรือไม่ และจะแก้ไขหากจำเป็น
แต่ภายในรัฐบาลกลาง กระบวนการดังกล่าวใช้เวลานานกว่าหลายวันเนื่องจากหน่วยงานที่รับผิดชอบในการปกป้องระบบไอทีของหน่วยงานพลเรือนอย่าง Department of Homeland Security ไม่มีอำนาจตามกฎหมายที่ชัดเจนในการสแกนเครือข่ายของหน่วยงานอื่น แม้ว่า มันมีความสามารถทางเทคนิคในการทำเช่นนั้น
“เร็วที่สุดเท่าที่จะทำได้ เราไปตามบ้านและได้รับจดหมายอนุญาตจากแต่ละหน่วยงาน ทำงานร่วมกับทนายความแต่ละคน เพื่อให้แน่ใจว่าเราสามารถสแกนระบบของพวกเขาได้ นั่นทำให้เราเสียเวลาไป 5-6 วันในบางกรณี” Phyllis Schneck รองปลัดกระทรวงความปลอดภัยทางไซเบอร์ของ DHS กล่าวกับคณะกรรมการจัดสรรวุฒิสภาเมื่อวันพุธ “คนทั้งโลกรู้เกี่ยวกับช่องโหว่นี้และข้อมูลทั้งหมดที่พวกเขาจับได้ ในขณะที่เรากำลังให้ทนาย ถ้าเรามีคำชี้แจงทางกฎหมายว่านี่คือหน้าที่ของเรา เราคงจะเริ่มต้นได้เร็วขึ้นมาก”
ข้อมูลเชิงลึกโดย LaunchDarkly: เรียนรู้ว่า Coast Guard, NSF
และ USAID ไม่เพียงแต่ปรับปรุงสภาพแวดล้อมขององค์กรเท่านั้น แต่ยังดำเนินการดังกล่าวด้วยวิธีที่สนับสนุนพนักงานของตนในการให้บริการได้ดีที่สุด ในขณะเดียวกันก็รักษาข้อมูลของรัฐบาลกลางให้ปลอดภัยด้วย
สภาคองเกรสจะต้องดำเนินการคำสั่งของ DHS ในการปกป้องหน่วยงานจากภัยคุกคามทางไซเบอร์นั้นมาจากบันทึกของประธานาธิบดีและกฎหมายของรัฐบาลกลางที่แยกส่วน รวมถึงกฎหมายความมั่นคงแห่งมาตุภูมิปี 2002 ซึ่งมอบหมาย DHS ด้วย “การตอบสนองและบรรเทา” ของภัยคุกคามทางไซเบอร์ในหน่วยงานรัฐบาลกลาง รัฐและท้องถิ่น และภาคเอกชนที่สำคัญ ผู้ให้บริการโครงสร้างพื้นฐาน
“ปัญหา และฉันรู้เรื่องนี้จากการทำงานในภาคเอกชน คือเมื่อทนายความเข้ามาเกี่ยวข้อง — และเพื่อเครดิตของพวกเขา พวกเขากำลังปกป้องบริษัท — พวกเขาไม่รู้จริง ๆ ว่าเราควรจะสแกนหรือไม่ ” เธอพูด. “นี่คือสิ่งที่เกิดขึ้นกับหน่วยงานระดับคณะรัฐมนตรี เราต้องสแกนหา Heartbleed”
Schneck กล่าวว่า DHS ต้องการให้สภาคองเกรสมอบอำนาจตามกฎหมายที่ชัดเจนในการสแกนเครือข่ายเหล่านั้น โดยเป็นส่วนหนึ่งของการเปลี่ยนแปลงทางกฎหมายในกฎหมายความปลอดภัยทางไซเบอร์ที่เสนอ ซึ่งจะรวมถึงการคุ้มครองความรับผิดสำหรับบริษัทที่แบ่งปันข้อมูลภัยคุกคามทางไซเบอร์กับรัฐบาลกลาง
“มันทำให้ชัดเจนว่าหน่วยงานของเราคืออะไร เพื่อช่วยในการแบ่งปันข้อมูลในภาคเอกชน และการคุ้มครองความรับผิดที่ตกเป็นเป้าอย่างแคบ” เธอกล่าว “ฉันมาจากอุตสาหกรรมนี้เมื่อ 8 เดือนก่อน และนั่นมีประโยชน์มากสำหรับบริษัท เพราะบริษัทจะพูดคุยกับที่ปรึกษาทั่วไปและกล่าวว่า ‘เรื่องนี้เป็นเรื่องปกติที่จะแบ่งปันกับรัฐบาลและปกป้องผู้อื่น และบริษัทจะไม่ได้รับผลกระทบ’”
Schneck กล่าวว่าแม้ว่าการตอบสนองของ DHS ต่อปัญหา Heartbleed ที่เฉพาะเจาะจงจะช้ากว่าที่ควรจะเป็น แต่หน่วยงานต่างๆ ก็ปลอดภัยจากแฮ็กเกอร์ที่พยายามใช้ประโยชน์จากช่องโหว่นั้นและช่องโหว่อื่นๆ ที่คล้ายกันมากกว่าที่เคยเป็นเมื่อไม่กี่ปีที่ผ่านมา DHS กล่าวว่า การที่หน่วยงานต่าง ๆ มุ่งไปสู่ระบบการวินิจฉัยและการบรรเทาผลกระทบอย่างต่อเนื่อง หมายความว่าพวกเขามีแนวโน้มที่จะสังเกตเห็นผู้ไม่ประสงค์ดีที่พยายามใช้ประโยชน์จากข้อบกพร่องด้านความปลอดภัย เธอยังอ้างถึงการป้องกันปริมณฑลที่เพิ่มขึ้นรอบ ๆ เครือข่ายของรัฐบาลภายใต้ โครงการ Einstein 3- Advanced (E3A) ซึ่งเป็นเหตุผลในการเพิ่มความมั่นใจในการรักษาความปลอดภัยเครือข่าย
“ระบบจะวัดอย่างต่อเนื่องว่าการรักษาหายดีแค่ไหนและมันปลอดภัยแค่ไหน ดังนั้นคุณจึงตระหนักเสมอถึงพฤติกรรมที่แตกต่างออกไป” เธอกล่าว “และเมื่อเราพัฒนาระบบนั้นมากขึ้น มันจะเป็นเหมือนระบบภูมิคุ้มกันของร่างกายคุณมากขึ้นเรื่อยๆ คุณไม่จำเป็นต้องมีการประชุมทางโทรศัพท์เพื่อต่อสู้กับหวัด คุณรู้อยู่เสมอว่ามีบางอย่างเข้ามา และคุณจะสามารถเห็นพฤติกรรมที่ไม่ดีต่างๆ กันทั่วทั้งรัฐบาลสหรัฐฯ ทั่วทั้งรัฐบาล เรามีการดำเนินงานเป็นอย่างมาก เราหักมุมมาก ถ้าฉันสามารถขอพรได้ 1 ข้อ คำขอนั้นจะสามารถดำเนินการได้เร็วขึ้นใน Heartbleed เพื่อที่เราจะได้ไม่ต้องได้รับจดหมายอนุญาตจากองค์กรเฉพาะทุกแห่งที่เราสแกน”
credit : สล็อตเครดิตฟรี
