دورکاری ناایمن در وزارت دفاع آمریکا

به گزارش کارگروه امنیت سایبربان به نقل از پایگاه خبری امنیت ملی آمریکا؛ در ماه مارس سال 2020، وزارت دفاع آمریکا برای اطمینان از اینکه شبکه‌های وزارت دفاع برای پشتیبانی از مأموریت‌های وزارت دفاع در ایام دورکاری آماده و ایمن هستند، کارگروه آمادگی دورکاری وزارت دفاع را به رهبری مدیریت ارشد اطلاعات وزارت دفاع (CIO) تأسیس کرد. این کارگروه تفاهم‌نامه‌هایی را برای اعضای وزارت دفاع آمریکا صادر کرد که بهترین روش‌ها را برای اطمینان از امنیت سایبری هنگام دورکاری ارائه می‌داد، مانند راهنمایی برای حفظ امنیت سایبری شبکه‌های وزارت دفاع و استفاده از قابلیت‌های موجود در لپ‌تاپ‌های وزارت دفاع برای به حداکثر رساندن امنیت در محیط دورکاری.

گرچه اعضای وزارت دفاع آمریکا در دوران دورکاری برای حفاظت از شبکه‌های وزارت دفاع ملزم به استفاده مدام از کنترل‌های امنیت سایبری بودند؛ اما بر اساس ارزیابی‌های دفتر بازرسی کل (OIG) آمریکا، اعضای یادشده به‌طور مدام از این کنترل‌ها استفاده نمی‌کردند.

به‌طور مشخص کارکنان نیروی زمینی، دریایی و هوایی آمریکا دورکاری خود را بدون توافق‌نامه‌های مصوب یا آموزش‌های لازم انجام می‌دادند زیرا به گفته برخی از مقامات وزارت دفاع آمریکا برخی از ناظران از مسئولیت خود مبنی بر نظارت بر دورکاری اعضای وزارت دفاع مطلع نبوده یا در دوران همه‌گیری ویروس کرونا وظایف کاری متعددی را بر عهده داشته‌اند.

کارشناسان آمریکایی معتقدند دورکاری و فن‌آوری‌های دسترسی از راه دور در برابر عوامل مخرب سایبری به محافظت بیشتری احتیاج دارند؛ زیرا این فناوری‌ها بیشتر از فناوری‌های مستقر در سازمان‌ها در معرض تهدیدات خارجی قرار دارند و ازآنجاکه طبق ارزیابی دفتر بازرسی کل، اعضای وزارت دفاع برای حفظ امنیت سایبری در دوران دورکاری کنترل‌های امنیتی را به‌طور کامل اجرا نمی‌کردند برای قربانی شدن در برابر حملات سایبری در معرض خطر بیشتری قرار دارند که می‌تواند امنیت جنگجویان آمریکایی و ایالات‌متحده را تهدید کند.

توصیه‌های دفتر بازرسی کل به مدیریت ارشد اطلاعات وزارت دفاع

• آژانس سیستم‌های اطلاعات دفاعی را برای بررسی راهنمایی‌های لازم در وی پی ان ها و افزودن زبان خاص هدایت کنید.
• معاونت خود در زمینه شرکت‌های اطلاعاتی را برای اجرای کنترل‌های امنیتی هدایت کنید.
   

توصیه‌های دفتر بازرسی کل به افسران ارشد اطلاعاتی

• افسران ارشد اطلاعاتی نیروی هوایی طرح جدیدی را تدوین و اجرا کنند.
• نیروی دریایی رئیس فرماندهی سایبری ناوگان آمریکا را هدایت کند تا با شناسایی اقدامات پیشگیرانه از سوءاستفاده عوامل مخرب سایبری از حساب‌های کاربری غیرفعال جلوگیری کند.

اظهارات مدیران اطلاعاتی و تحلیل پایگاه خبری امنیت ملی آمریکا در قبال این اظهارات

مدیریت ارشد اطلاعات وزارت دفاع آمریکا با توصیه دفتر بازرسی کل در خصوص اضافه کردن زبان به راهنمای امنیتی موردنیاز وی پی ان ها موافق نیست، با بیان اینکه آژانس سیستم‌های اطلاعات دفاعی به این نتیجه رسیده که افزودن زبان می‌تواند تأثیر منفی بر سازمان‌های داخلی وزارت دفاع داشته باشد. بااین‌حال، مدیریت ارشد اطلاعات وزارت دفاع آمریکا اطلاعات اضافی ارائه نداد.

بنابراین؛ دفتر بازرسی کل نمی‌تواند به این نتیجه برسد که افزودن زبان می‌تواند تأثیر منفی بر اعضای داخلی وزارت دفاع داشته باشد. مدیریت ارشد اطلاعات وزارت دفاع باید توضیحات بیشتری ارائه دهد که چگونه اضافه کردن زبان خاص به راهنمای امنیتی موردنیاز در وی پی ان ها می‌تواند بر سازمان‌های داخلی وزارت دفاع تأثیر منفی بگذارد.

رئیس فرماندهی سایبری ناوگان آمریکا در تصمیم خود در مورد سیاست‌های آژانس سیستم‌های اطلاعاتی نیروی دریایی و دفاعی تجدیدنظر کرد.

بنابراین، این توصیه تأییدشده اما بازخواهد ماند تا زمانی که این فرماندهی با ارائه اسنادی نشان دهد که مدیران شبکه سیاست‌های گروه را طوری تنظیم کرده‌اند که حساب‌های کاربری در صورت عدم فعالیت، غیرفعال یا حذف می‌شوند.

اگرچه مدیریت ارشد اطلاعات نیروی دریایی آمریکا با شناسایی اقدامات پیشگیرانه برای جلوگیری از سوءاستفاده عوامل مخرب سایبری از حساب‌های کاربری غیرفعال موافقت کرد؛ اما او اقداماتی را که رئیس فرماندهی سایبری ناوگان آمریکا باید انجام دهد تا از سوءاستفاده از حساب‌های کاربری غیرفعال جلوگیری کند را مشخص نکرد.

بنابراین؛ این توصیه تأیید نشده است و مدیریت ارشد اطلاعات نیروی دریایی آمریکا باید در خصوص نحوه اجرای این توصیه توضیحات بیشتری ارائه دهد.

مدیریت ارشد اطلاعات نیروی هوایی آمریکا با تدوین و اجرای یک طرح جدید موافقت کرد.

بنابراین؛ این توصیه نیز تأییدشده اما بازخواهد ماند تا مدیریت ارشد اطلاعات نیروی هوایی آمریکا با ارائه اسنادی نشان دهد که سیاست‌های او این طرح را هم دربر می‌گیرد.