เมื่อพูดถึงการปฏิบัติตามคำสั่งของรัฐบาลกลางสำหรับขั้นตอนการเข้าถึง IT ที่ปลอดภัยยิ่งขึ้น เช่น การยืนยันตัวตนแบบสองปัจจัย กระทรวงกลาโหมได้เป็นผู้นำในหลายๆ ด้าน รวมถึงการเปิดตัวโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) ในระบบส่วนใหญ่(ได้รับความอนุเคราะห์จาก DISA)แต่มันยังเคลื่อนไหวได้ไม่เร็วพอ ตามรายงานของเพนตากอนเมื่อสัปดาห์ที่แล้ว “ทีมสีแดง” ของ DoD ซึ่งสวมบทบาทเป็นผู้โจมตีทางไซเบอร์ในโลกแห่งความเป็นจริง
ประสบความสำเร็จในการใช้รหัสผ่านที่ถูกขโมยเป็นหนึ่ง
ในจุดเริ่มต้นหลักในเครือข่ายที่พวกเขากำลังทดสอบ พูดอีกอย่างก็คือ ระบบ DoD ที่มีความสำคัญมากต่อภารกิจจำนวนมากยังคงใช้ขั้นตอนการตรวจสอบสิทธิ์ที่เข้มงวดพอๆ กับบัญชี Gmail ของผู้ใช้ทั่วไป
สิ่งนี้จำเป็นต้องเปลี่ยนแปลง และในไม่ช้า Mark Orndorff เจ้าหน้าที่ความปลอดภัยทางไซเบอร์ระดับสูงของสำนักงานระบบสารสนเทศกลาโหมกล่าวระหว่างการสนทนาสดทางออนไลน์กับ Federal News Radio
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
Orndorff จะเกษียณอายุในวันศุกร์หลังจากอาชีพด้านไอทีซึ่งรวมถึงการรับราชการในเครื่องแบบในกองทัพบก ราชการพลเรือน และผู้บริหารระดับสูง เขาอ้างถึงความพยายามที่ยาวนานหลายปีของ DoD ในการสนับสนุนกลไกการพิสูจน์ตัวตนว่าเป็นความท้าทายด้านความปลอดภัยทางไซเบอร์ที่ใหญ่ที่สุดที่ยังไม่ได้รับการแก้ไขในระหว่างที่เขาดำรงตำแหน่ง
“เราต้องทำให้ปีนี้เป็นปีที่เราเลิกใช้รหัสผ่าน” เขากล่าว
“เราจำเป็นต้องใช้ PKI ในที่ที่เราสามารถทำได้ และใช้นวัตกรรมล่าสุด เช่น ที่มีอยู่ในอุตสาหกรรมในปัจจุบันสำหรับสถานการณ์ที่ PKI ไม่ใช่ตัวเลือก ทุกวันนี้ การใช้ระบบที่อาศัยรหัสผ่านนั้นประมาทพอๆ กับขับรถโดยไม่มีเบรกหรือไฟหน้า เราแนะนำให้ใช้รหัสผ่านที่รัดกุมเพื่อเป็นแนวทางในการปรับปรุงความปลอดภัยตราบเท่าที่ฉันอยู่ในธุรกิจนี้ — ซึ่งเป็นเวลานานมาก — และทำให้ฉันนึกถึงคำพูดที่มีชื่อเสียงของอัลเบิร์ต ไอน์สไตน์: ‘ความบ้า: การทำสิ่งเดียวกัน ครั้งแล้วครั้งเล่าและคาดหวังผลลัพธ์ที่แตกต่าง’”
Orndorff กล่าวว่า PKI กลายเป็นโซลูชันที่ดีและปลอดภัยมากสำหรับการจัดการข้อมูลประจำตัวและการเข้าถึงในระบบ DoD ส่วนใหญ่ แต่เมื่อเพนตากอนกำลังกดดันรัฐบาลให้นำมาใช้เป็นมาตรฐาน ก็ไม่ได้วางแผนอย่างเพียงพอสำหรับสถานการณ์ที่ PKI ไม่ใช่ตัวเลือก เช่น ในระบบที่จำเป็นเพื่อให้การเข้าถึงที่ปลอดภัยแก่ผู้ใช้ที่ไม่ใช่ DoD หรือที่ใช้เทคโนโลยี ที่เข้ากันไม่ได้กับ PKI ด้วยเหตุผลใดก็ตาม
“เรามีความก้าวหน้าอย่างมากกับ PKI ทั่วทั้ง DoD อย่างไรก็ตาม เรายังมีช่องว่างเล็กน้อยที่ฝ่ายตรงข้ามหรือทีมสีแดงสามารถใช้ประโยชน์เพื่อตั้งหลักได้” เขากล่าว “ใน DoD เราผลักดันให้ PKI เป็นตัวระบุที่ดีที่สุด แต่ล้มเหลวในการนำเสนอวิธีแก้ปัญหาที่ ‘ดี’ สำหรับสถานการณ์เหล่านั้นที่ PKI ใช้งานไม่ได้ มุมมองของฉันคือเราต้องเปิดประตูสู่นวัตกรรมที่อาจไม่ดีเท่า PKI แต่ดีกว่ารหัสผ่าน”
ในการสนทนาในวงกว้างระหว่างการสนทนาออนไลน์และในการสัมภาษณ์ทางวิทยุใน รายการวิทยุ On DoD ของ Federal News Radio Orndorff ได้กล่าวถึงประเด็นต่างๆ มากมาย รวมถึงการปรับโครงสร้างองค์กรล่าสุด ของ DISA กระบวนการรักษาความปลอดภัยใหม่ที่หน่วยงานใช้เพื่ออนุมัติการใช้เชิงพาณิชย์ บริการคลาวด์คอมพิวติ้งภายใน DoD และความสัมพันธ์ระหว่างศูนย์บริหารความเสี่ยงแห่งใหม่ของ DISA และเครือข่ายข้อมูล Joint Force Headquarters-DoD ใหม่