استانداردهای جدید امنیت سایبری در وزارت دفاع آمریکا

به گزارش کارگروه بین‌الملل سایبربان؛ مقامات وزارت دفاع ایالات متحده طرح‌هایی را برای استانداردهای امنیت سایبری ارائه کردند. این استانداردها قرار است از ژانویه 2020 اجرا شوند.

کیتی آرینگتون (Katie Arrington)، دستیار ارشد معاون دفاع سایبری در کنفرانس شورای خدمات تخصصی، درخواست خود را مبنی بر همکاری بخش خصوصی و دولتی به منظور امنیت زنجیره تأمین بیان کرد. استانداردهای جدید، یک سیستم 5 سطحی دارند و دستورالعمل فعلی مؤسسه ملی استاندارد و فناوری (National Institute of Standards and Technology) را با ورودی جدید از بخش خصوصی و دانشگاهی ادغام خواهند کرد.

این استانداردها به عنوان تأییدیه مدل کامل امنیت سایبری (e National Institute of Standards and Technology)، با همکاری آزمایشگاه فیزیک کاربردی جان هاپکینز (Johns Hopkins) و مؤسسه مهندسی نرم افزار دانشگاه «Carnegie Mellon» مورد تحقیق و توسعه قرار خواهند گرفت. شرکت‌های خصوصی شخص ثالث هم پیمانکاران را برای تضمین اتخاذ استانداردها بررسی می‌کنند. این برنامه، شامل یک مرکز آموزش امنیت سایبری خواهد بود. سطح امنیت سایبری مورد نیاز توسط استادراندها و روی همه قراردادهای اجرا شده نشان داده خواهند شد.

مقامات دفاعی آمریکا بیش از یک سال است که در مورد نیاز به توسعه استانداردهای اجرایی جدید امنیت سایبری صحبت می‌کنند. اوایل سال 2019، دانا دیسی (Dana Deasy)، مدیر ارشد اطلاعات وزارت دفاع ایالات متحده دلایل عدم نگرانی درمورد پیمانکاران اصلی و درجه یک را توضیح داد.

دیسی گفت:

این اطمینان با رسیدن به پیمانکاران فرعی درجه 3 و 4 کاهش می‌یابد. نکته اصلی این است که با دقت در پیمانکاران فرعی مختلف از خود می‌پرسید، آیا آنها متوجه می‌شوند؟ آیا مجهز هستند؟ آیا دانش و توانایی دفاع از خود را دارند؟ و اینکه ما باید چه کاری انجام دهیم تا کمک بیشتری به آنها در یادگیری دفاع از خود در سطوح مختلف کنیم؟

بیانیه آرینگتون، اولین دیدگاه نسبت به استانداردهای مورد انتظار برای اجرا به حساب می‌آیند. به همین ترتیب، در سال 2017 نیز وزارت دفاع آمریکا قوانین جدیدی معرفی کرد که براساس آن تمام فروشندگانی که با بخش تجاری همکاری دارند باید از اطلاعات دفاعی پوششی منتقل گشته یا ذخیره شده در شبکه یا سیستم خود محافظت کنند.

وی ضمن اشاره به قوانین جدید، عنوان کرد:

باید برای اطمینان از امنیت اطلاعات میان بخش خصوصی و دولتی همکاری صورت گیرد. این یک مسئله انفرادی نیست و توجه به گروه مطرح می‌شود.

دستیار ارشد معاون دفاع سایبری اظهار داشت:

اکثر پیمانکاران وزارت دفاع از شیوه‌های امنیت سایبری اد هاک (Ad hoc) و متناقض بهره می‌برند. نواقص امنیت سایبری و سرقت داده‌های مالکیت معنوی از اطلاعات وزارت دفاع آمریکا منجر به سرقت سیستم‌های سلاح درجه یک مانند «F-35» می‌شود؛ بنابراین ما باید در مورد اتفاقات مربوط به داده‌های خود خشمگین باشیم.

آرینگتون در حال برگزاری یک تور شنیداری در آمریکا برای دریافت پیشنهاد پیمانکاران در خصوص قوانین امنیت سایبری است. او قانونگذار سابق کارولینای جنوبی و مالک کسب و کار کوچکی است که با دولت همکاری دارد و به گفته خودش، تجربیات او برای کمک به امنیت داده‌‎های نظامی مفید هستند.

جویس کُرِل (Joyce Corell)، دستیار زنجیره تأمین و سایبری در اداره مدیریت مرکز امنیت و ضدجاسوسی ملی اطلاعات ملی معتقد است که بزرگ‌ترین خطرات ضدجاسوسی علیه ایالات متحده، نه سرقت داده‌های دولتی، بلکه آی‌پی بخش خصوصی است.

وی در ادامه صحبت‌های آرینگتون اعلام کرد:

تلاش دولت‌هایی مانند چین برای سرقت آی‌پی آمریکایی باعث فعالیت اکثر سازمان‌های ضدجاسوسی واشنگتن شده است. اقدامات جدید برای امنیت زنجیره تأمین به منظور جلوگیری از انتشار داده‌ها امری ضروری است. به همین دلیل امنیت سایبری باید در تمام بخش‌های زنجیره تأمین برای پیمانکاران دولتی لحاظ گردد. کسب و کارهای کوچک نیز باید همکاری سایبری با بخش دولتی را افزایش دهند. امنیت زنجیره تأمین، یک ورزش تیمی است.

کُرِل و آرینگتون، هر 2 پیام‌هایی را مبنی بر نیاز به امنیت سایبری در تمام سطوح زنجیره تأمین، پیمانکاری و سازمان‌های نظامی و غیرنظامی منتشر کردند.