تمرکز سیاست های سایبری آمریکا روی جنگجویان (بخش دوم)

در بخش قبل نوشته شد، نانسی کریدلر، مدیر جدید اداره امنیت سایبری و تضمین اطلاعات نیروی زمینی آمریکا قصد دارد تمرکز سیاست‌های امنیتی سایبری را از شبکه‌های سازمانی به سامانه‌های تاکتیکی منتقل کند. به همین منظور اقداماتی مانند ساده‌سازی فرآیند مدیریت خطر صورت گرفته است. در این ادامه چندین عدد از اقدامات دیگر نیروی زمینی در این حوزه نوشته شده‌اند.

از دیگر پروژه‌های مهم می‌توان به توسعه برنامه‌ای برای تلفن‌های هوشمند اشاره کرد که در زمینه تأیید اعتبار چند منظوره و یک برنامه آزمایشی برای یوبیکی (YubiKey) تولید می‌شود. یوبیکی یک ابزار تجاری و کلیدی سخت‌افزاری است که برای تأیید هویت از آن بهره گرفته می‌شود. این برنامه به گونه‌ای طراحی می‌شود که قابلیت همکاری میان وزارتخانه‌ها و سازمان‌های مختلف را فراهم می‌کند.

نانسی کریدلر گفت:

برای مثال هم‌اکنون من می‌توانم با شفافیت کامل از وزارت دفاع به وزارت امور خارجه و از آنجا به وزارتخانه امنیت داخلی بروم. ما هم‌اکنون روی ارائه تأیید هویت دومرحله‌ای فراتر از نام کاربری و رمز عبور کار می‌کنیم. این مسئله به کاربران اجازه می‌دهد بدون نیاز به کارت‌های دسترسی مشترک (CAC) به بخش‌های مختلف نیروی زمینی دسترسی پیدا کنند.

یوبیکی همچنین سطح دیگری از شناسایی را در دسترس بخش‌های مختلف نیروی زمینی قرار می‌دهد. برای مثال می‌توان آن را به صورت هم‌زمان با کارت‌های دسترسی مشترک ثبت کرد تا امکان استفاده ایمن از لپ‌تاپ‌های غیردولتی در شبکه فراهم آید.

آموزش، دکترین فرماندهی و نیروهای آموزشی نیروهای ذخیره (ROTC) نیروی زمینی از اولین گروه‌هایی خواهند بود که یوبیکی را دریافت خواهند کرد.

کریدلر ادامه داد:

نوآوری یاد شده به مانند برنامه بانکی است که در هنگام تأیید هویت کدی را برای شما ارسال می‌کند.

یکی از اقدامات اولیه مقام مذکور کمک به انجام تحقیقات امنیت سایبری روی سامانه‌هایی بود که استانداردهای خطرات بالقوه سایبری را رعایت نکرده بودند. وی به چندین مقام نظامی دیگر کمک کرد تعدادی سامانه را شناسایی کنند که به منظور اتصال به شبکه نیاز به تأیید داشتند. سپس به اپراتورها 90 روز فرصت داده شد تا مجوزهای لازم برای سیستم‌های خود را به دست آوردند. هدف وی حفظ آمادگی نیروی زمینی بود. در حال حاضر یک فرآیند 3 ماهه را به منظور بررسی سامانه‌هایی که بدون مجوز در شبکه فعال هستند راه‌اندازی کرده است تا از مطابقت داشتن آن‌ها با قانون نوسازی امنیت اطلاعات فدرال اطمینان حاصل شود.

کریدلر روی همکاری و هماهنگی برای تقویت امنیت سایبری تأکید دارد. دفتر وی در ماه ژوئن 2019 تالارهای گفتگویی را که بسیاری از برنامه‌های مدیریت امنیت اطلاعات در آن قرار داشت بررسی کردند.

مقام مذکور اظهار کرد:

ما متوجه شدیم در انجمن‌های مذکور افراد بسیاری با مشکلات مشابه وجود دارند که برای اغلب آن‌ها هیچ فردی راهکار ندارد. ما ارزش بالایی را در این فروم‌ها و در زمینه به اشتراک‌گذاری اطلاعات نیروی زمینی شناسایی کردیم. ما در واقع به دنبال کل جامعه امنیت سایبری نیروی زمینی هستیم تا در شناسایی و کاهش خطر با یکدیگر همکاری کنند.

وی همچنین روی تقویت همکاری‌ها از طریق یک برنامه هفتگی «تماس‌های جمعه» با فعالان فضای مجازی را آغاز کرده است تا شرکت‌کنندگان بتوانند علاوه بر به اشتراک‌گذاری اطلاعات، سؤالات خود را نیز مطرح کنند. به علاوه چندین کارگروه با دوره‌های 3 ماهه راه‌اندازی شده است که در رابطه با موضوعاتی مانند مدرن سازی رمزنگاری و مدیریت گروه در آن‌ها صحبت می‌شود.

مقام مذکور شرح داد:

یکی از اولویت‌های من این است که جامعه را به منظور همکاری برای رفع مشکلات امنیت سایبری پیرامون هم گرد آورم. در میان همه سازمان‌ها نقاط اشتراک بسیاری وجود دارد.

از طرفی سند سیاست و دستورالعمل امنیت سایبری بروز شده است. یک همکاری بزرگ‌تر احتمالاً به فرایند بروزرسانی‌ها در آینده کمک می‌کند.

وی از هوش مصنوعی، یادگیری ماشینی و خدمات ابری به عنوان فناوری‌هایی نوظهور یادکرد که به احتمال زیاد بر امنیت سایبری تأثیر می‌گذارند.

مقام مذکور ادامه داد:

امنیت سایبری به صورت پیوسته در حال تحول است. ما اقدامات بسیاری در زمینه به کارگیری هوش مصنوعی و یادگیری ماشینی در امنیت سایبری انجام داده‌ایم. سربازان و فرماندهان به زودی خواهند توانست با استفاده از این فناوری‌ها به شکل آگاهانه‌تری تصمیم‌گیری کنند. محاسبات ابری به طور حتم امنیت سایبری را افزایش می‌دهد؛ اما چالش‌های جدیدی را نیز با خود به همراه می‌آورد.

کریدلر همچنین به نیاز نیروی زمینی برای توسعه نرم‌افزار عملیات امنیتی اشاره کرد که از آن به عنوان «DevSecOps» نیز یاد می‌شود. این فرآیند به عنوان روشی شامل تأمین امنیت در هنگام توسعه نرم‌افزار به کار می‌رود.

وی گفت:

وزارت دفاع در سال‌های آینده قصد دارد DevSecOps را در کلیه خدمات ارائه دهد. ما می‌خواهیم بررسی کنیم این فرایند چگونه به نظر می‌رسد. همچنین ما قصد داریم چندین طرح آزمایشی را در نیروی زمینی اجرا کنیم.

مقام مذکور مدعی شد نیروی زمینی تحت رهبری فرماندهانی مانند کرافورد و فوگارتی، پیشرفت قابل‌توجه و سریعی در امنیت سایبری داشته است.

وی اظهار کرد:

من برای 19 سال در امنیت سایبری فعالیت می‌کردم؛ اما در طول 5 ماه گذشته پیشرفت قابل‌توجهی را مشاهده کرده‌ام. چالش ما این است که همواره جلوتر از دشمنان خود حرکت کنیم. امنیت سایبری یک ورزش تیمی است و در حال حاضر مشاهده می‌کنم که در بالاترین سطح بازی قرار داریم.