หน่วยงานส่วนใหญ่ล้มเหลวในการทำให้ความปลอดภัยทางไซเบอร์เป็นส่วนหนึ่งของแผนกลยุทธ์ของพวกเขาการวิจัยใหม่แสดงให้เห็นเฉพาะหน่วยงานของกระทรวงกลาโหมและพลังงานเท่านั้นที่ทำได้ดีในการตระหนักถึงบทบาทของความปลอดภัยทางไซเบอร์ในวงกว้างมากขึ้นทั่วทั้งหน่วยงานของตนKevin Desouza รองคณบดีฝ่ายวิจัยของวิทยาลัยโครงการสาธารณะที่ Arizona State University และเพื่อนอาวุโสด้าน Governance Studies ที่ Brookings Institution ได้ตรวจสอบแผนกลยุทธ์มากกว่า 1,000 หน้าจากหน่วยงานหลักทั้งหมดเพื่อประเมินว่าพวกเขา
รวมความปลอดภัยทางไซเบอร์เข้ากับเป้าหมายของพวกเขา
Desouza ผู้เขียนบล็อกเกี่ยวกับการค้นพบของเขาสำหรับ Brookings กล่าวว่าผลลัพธ์ที่ได้นั้นน้อยกว่าความมั่นใจ
“ประเด็นสำคัญที่เราค้นพบคือแม้ว่าภัยคุกคามจากการโจมตีโครงสร้างพื้นฐานที่สำคัญจะสูงเป็นประวัติการณ์ แต่หน่วยงานส่วนใหญ่ขาดแผนที่ชัดเจนเกี่ยวกับวิธีการลงทุนในความสามารถในการจัดการกับภัยคุกคามเหล่านี้และในหน่วยงานด้วย หากพวกเขามีแผนหรือการดำเนินการที่ชัดเจน ก็ไม่มีเมตริกการประเมินประสิทธิภาพที่แท้จริงที่จะเปิดเผยว่าการลงทุนเหล่านี้จะได้ผลตอบแทนจริงหรือไม่” Desouza กล่าวในการให้สัมภาษณ์กับ Federal News Radio “อีกสิ่งหนึ่งที่เราพบว่าค่อนข้างวิกฤต ยกเว้นกระทรวงพลังงานและกระทรวงกลาโหม ซึ่งคุณมีโครงการโครงสร้างพื้นฐานขนาดใหญ่ที่สำคัญแบบดั้งเดิม หน่วยงานที่เหลือแทบไม่สนใจปัญหานี้เลย หากคุณกำลังจะสร้างความเสียหายให้กับสหรัฐฯ
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและ
การเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
Desouza กำหนดโครงสร้างพื้นฐานที่สำคัญเป็นน้ำ ไฟฟ้า โทรคมนาคม และภาคดั้งเดิมอื่น ๆ ตลอดจนส่วนประกอบฮาร์ดแวร์และซอฟต์แวร์ของระบบ
แม้ว่าภาคเอกชนจะควบคุมประมาณร้อยละ 85 ของโครงสร้างพื้นฐานที่สำคัญทั้งหมด เดซูซากล่าวว่าหน่วยงานต่างๆ ยังคงมีความเสี่ยง พวกเขาไม่เพียงแต่ซื้อบริการเหล่านี้จากภาคเอกชนเท่านั้น แต่ 15 เปอร์เซ็นต์ที่ DoD, DoE หรือหน่วยงานอื่นๆ ควบคุมมักจะมีความเชื่อมโยงกลับไปยังภาคส่วนที่ไม่ใช่ภาครัฐ
“ภาคเอกชนลงทุนทรัพยากรจำนวนมหาศาลเพื่อปกป้องข้อมูล ข้อมูลและทุกอย่างที่เกี่ยวข้องกับโครงสร้างพื้นฐาน” เขากล่าว “อย่างไรก็ตาม ประเด็นสำคัญคือโดยไม่คำนึงถึงปริมาณความพยายามที่องค์กรเอกชนลงทุน หากจุดอ่อนนั้นเป็นของสาธารณะ 12 เปอร์เซ็นต์หรือ 18 เปอร์เซ็นต์ จุดอ่อนนั้นสามารถใช้เป็นจุดเริ่มต้นเพื่อใช้ประโยชน์จากสิ่งต่าง ๆ ต่อไปได้เนื่องจาก ลักษณะการเชื่อมต่อกันของโครงสร้างพื้นฐาน อีกสิ่งหนึ่งคือภาครัฐมีบทบาทในการกำหนดกรอบและระเบียบการกำกับดูแลเพื่อให้เกิดความร่วมมือระหว่างหน่วยงานต่างๆ และระหว่างหน่วยงานกับภาคเอกชนด้วย”
Desouza พบว่า 35 เปอร์เซ็นต์ของวัตถุประสงค์ของหน่วยงานมีองค์ประกอบด้านไอทีบางส่วน และประมาณ 12 เปอร์เซ็นต์เกี่ยวข้องกับเทคโนโลยีทั้งหมด แต่การวิจัยพบว่าครึ่งหนึ่งของแผนหน่วยงานทั้งหมดไม่ได้กล่าวถึงความปลอดภัยทางไซเบอร์ และน้อยกว่า 25 เปอร์เซ็นต์ของวัตถุประสงค์ด้านไอทีไม่ได้ระบุถึงความจำเป็นในการรักษาความปลอดภัยคอมพิวเตอร์หรือเครือข่ายของตน
นอกจากนี้ แผนกลยุทธ์ของหน่วยงานมักไม่ค่อยกล่าวถึงรายละเอียดด้านความปลอดภัยในโลกไซเบอร์ โดยส่วนใหญ่กล่าวถึงความพยายามที่กำลังดำเนินอยู่เพียงสั้นๆ
Desouza กล่าวว่าสาเหตุของข้อบกพร่องเหล่านี้มีหลากหลาย Desouza กล่าวว่าเขากำลังสัมภาษณ์ CIO ของภาครัฐ และเห็นได้ชัดว่ามีวัฒนธรรมและความท้าทายด้านความเป็นผู้นำซึ่งเป็นส่วนหนึ่งของการวิจัยในวงกว้าง ซึ่งทำให้เขาขาดการให้ความสำคัญกับความปลอดภัยทางไซเบอร์
“ถ้าคุณใช้เอเจนซี่ที่ไอทีช่วยเอเจนซี่คิดค้นและเพิ่มประสิทธิภาพของกระบวนการที่เกิดขึ้นและให้บริการได้อย่างมีประสิทธิภาพมากขึ้น ไอทีจะทำให้สิ่งต่างๆ ถูกลงตามค่าเริ่มต้น” เขากล่าว “ไม่มีหัวหน้าหน่วยหรือทีมงานคนไหนอยากพูดว่า ‘ตอนนี้ฉันต้องการเงินน้อยลง’ ดังนั้น IT จึงไม่ถูกมองว่า ‘เฮ้ ขอบคุณที่ลดค่าใช้จ่ายในการดำเนินการของฉัน’ เสมอไป เพราะถ้าคุณลดค่าใช้จ่ายในการดำเนินการ ฉันจะไม่สามารถขอเงินจำนวนเท่าเดิมได้ในอนาคต ดังนั้นในหน่วยงานที่แต่เดิมต้องใช้แรงงานมาก ฉันคิดว่าไอทีถูกมองข้ามโดยเจตนา เนื่องจากข้อเท็จจริงที่ว่าสามารถเพิ่มประสิทธิภาพได้อย่างมาก”
DoE และ DoD เป็นเพียงสองหน่วยงานที่รวมความปลอดภัยทางไซเบอร์ ไว้ในแผนกลยุทธ์ของพวกเขา
