กระทรวงกลาโหมขาดกลยุทธ์ เงินทุน และแรงงานฝีมือในการปกป้องอาคารและระบบอาคารจากการโจมตีทางไซเบอร์กระทรวงกลาโหมไม่มีกลยุทธ์ปฏิบัติการในการแจ้งให้ผู้บัญชาการฐานและผู้นำกระทรวงกลาโหมคนอื่นๆ ถึงวิธีการปกป้อง ป้องกันและบรรเทาการโจมตีทางไซเบอร์ในอาคารที่ดูแลของแผนก จอห์น คองเกอร์ รักษาการผู้ช่วยรัฐมนตรีกลาโหมด้านพลังงาน การติดตั้ง และสิ่งแวดล้อม กล่าว
“ผู้คนกำลังนั่งอยู่ที่นั่นด้วยความสงสัยว่า ‘ฉันควรทำอย่างไรดี’”
Conger กล่าวเมื่อวันที่ 17 พ.ย. ที่ Federal Facilities Council Building Control Systems Cyber Resilience Workshop ในวอชิงตัน “เราต้องสามารถร่วมมือกับทุกคนเพื่อให้ทุกคนรู้ว่าต้องทำอะไรและรับมือกับปัญหานี้ … ปัญหาเป็นเรื่องจริงและการเพิกเฉยไม่ได้ช่วยแก้ปัญหาอะไรเลย”
DoD มีอาคารมากกว่า 300,000 หลังภายใต้ร่มของมัน Conger กล่าว คำสั่งหัวหน้าเจ้าหน้าที่ข้อมูลของ DoD ทำให้ผู้พัฒนาแพลตฟอร์มรับผิดชอบความปลอดภัยทางไซเบอร์ด้านไอที นั่นหมายความว่าแผนกติดตั้งของ DoD มีหน้าที่รับผิดชอบด้านความปลอดภัยทางไซเบอร์ของอาคาร
ข้อมูลเชิงลึกโดย GDIT: มีเทคโนโลยีหลักหลายอย่าง – ICAM, Mission Partner Environments (MPEs) และวิศวกรรมดิจิทัล – ที่เปิดใช้งาน JADC2 ในตอนที่ 3 ของซีรีส์ 3 ส่วนนี้ ผู้ดำเนินรายการ Tom Temin จะพูดคุยถึงวิธีการที่วิศวกรรมดิจิทัลเป็นกุญแจสำคัญในการปรับปรุงเครือข่าย DoD ให้ทันสมัย
“นี่เป็นหนึ่งในปัญหาที่ไขว้เขว ไม่ใช่แค่เรื่อง IT และไม่ใช่แค่การสร้างสิ่งต่างๆ เท่านั้น… มันไม่ใช่แค่ปัญหาของโลก IT แบบเดิมๆ” Conger กล่าว
อย่างไรก็ตาม อาคารต่างๆ มีความอ่อนไหวต่อการโจมตีทางไซเบอร์พอๆ กับแพลตฟอร์มอิเล็กทรอนิกส์อื่นๆ แฮ็กเกอร์ไม่เพียงแค่สามารถเข้าไปในระบบต่างๆ เช่น ระบบทำความร้อน การระบายอากาศและความเย็น และโครงข่ายไฟฟ้าเท่านั้น แต่พวกเขายังสามารถเข้าถึงโครงสร้างพื้นฐานที่สำคัญกว่า ประนีประนอมกับข่าวกรองและความปลอดภัย
Conger กล่าวว่าหนึ่งในเหตุผลที่ DoD ไม่มีกลยุทธ์สำหรับการรักษาความปลอดภัยทางไซเบอร์
ของอาคารคือไม่มีคลังของระบบอาคารที่เสี่ยงต่อการโจมตีทางไซเบอร์ตั้งแต่แรก
“มี [ระบบควบคุมอุตสาหกรรม] จำนวนเท่าใดก็ได้ในอาคาร … และใครจะรู้ว่าคุณเสียบเข้ากับพอร์ตเดียวและรหัสผ่านจะเป็น ‘รหัสผ่าน’ หรือไม่มีแม้แต่รหัสผ่านเลย” Conger กล่าว “มีช่องโหว่ทุกที่และเราไม่มีสินค้าคงคลัง”
นอกจากนี้ Conger ยังกล่าวว่าเขาไม่มีแรงงานที่มีทักษะทั้งในด้านการบำรุงรักษาอาคารและการรักษาความปลอดภัยด้านไอที
เขาเปรียบมันกับช่างเครื่อง ก่อนที่รถจะใช้คอมพิวเตอร์ ช่างเครื่องสามารถตรวจดูรถทุกคันและหาปัญหาได้ ตอนนี้ ช่างจำเป็นต้องได้รับการฝึกฝนเพื่อใช้อุปกรณ์ที่ตัวแทนจำหน่ายซึ่งเสียบเข้ากับรถยนต์เพื่อวินิจฉัยปัญหาคอมพิวเตอร์บางอย่าง
Conger กล่าวว่าการบำรุงรักษาอาคารของ DoD อยู่ที่ทางแยกที่คล้ายกันซึ่งพนักงานต้องการทั้งทักษะด้านเครื่องกลและคอมพิวเตอร์
นั่นเป็นปัญหาสำคัญเมื่อเงินทุนของ DoD ไม่ครอบคลุมถึงสิ่งที่จำเป็นในการบำรุงรักษาฐานและสิ่งปลูกสร้างConger กล่าวว่า DoD มีความเสี่ยงอยู่แล้วกับการบำรุงรักษาอาคารขั้นพื้นฐานเพราะได้รับเงินทุนไม่เพียงพอ
“ภัยคุกคามทางไซเบอร์กำลังได้รับความสนใจอย่างมากในแผนก [US Cyber Command] กำลังได้รับเงินจำนวนมาก” Conger กล่าว แต่ส่วนย่อยของการสร้างความปลอดภัยในโลกไซเบอร์นั้นไม่ใช่
Conger ได้รับการเสนอชื่อให้เป็นผู้ควบคุมดูแลรอง DoD คนต่อไป
Conger กล่าวว่า DoD จำเป็นต้องรวบรวมผู้คนที่เป็น “สองและสามภาษา” ซึ่งพูดภาษาการบำรุงรักษาอาคาร ภาษาไอที และ “Pentagonese” มารวมกันและคิดกลยุทธ์ที่ดำเนินการได้สำหรับการผ่อนชำระ DoD ซึ่งอาจอยู่ในรูปนโยบาย คู่มือ หรืออย่างอื่น
Conger ตั้งข้อสังเกตว่าการใช้กรอบการบริหารความเสี่ยง (RMF) เป็นการเริ่มต้น แต่ในที่สุด DoD จะต้องนำเงินจริงบางส่วนไปสร้างความปลอดภัยทางไซเบอร์
RMF เป็นกรอบความปลอดภัยข้อมูลทั่วไปสำหรับรัฐบาลกลางและผู้รับเหมา
DoD เริ่มเปลี่ยนไปใช้ RMF ในเดือนมีนาคม 2014 DoD กำหนดให้มีการจัดตั้งและใช้โครงสร้างการตัดสินใจแบบบูรณาการทั่วทั้งองค์กรสำหรับการจัดการความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์และแนวทางการจัดการความเสี่ยงสามระดับ