ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงหน่วยงานส่วนใหญ่ล้มเหลวในการทำให้ความปลอดภัยทางไซเบอร์เป็นส่วนหนึ่งของแผนกลยุทธ์ของพวกเขาการวิจัยใหม่แสดงให้เห็นเฉพาะหน่วยงานของกระทรวงกลาโหมและพลังงานเท่านั้นที่ทำได้ดีในการตระหนักถึงบทบาทของความปลอดภัยทางไซเบอร์ในวงกว้างมากขึ้นทั่วทั้งหน่วยงานของตนKevin Desouza รองคณบดีฝ่ายวิจัยของวิทยาลัยโครงการสาธารณะที่ Arizona State University และ
เพื่อนอาวุโสด้าน Governance Studies ที่ Brookings Institution
ได้ตรวจสอบแผนกลยุทธ์มากกว่า 1,000 หน้าจากหน่วยงานหลักทั้งหมดเพื่อประเมินว่าพวกเขา รวมความปลอดภัยทางไซเบอร์เข้ากับเป้าหมายของพวกเขาเควิน เดซูซ่าDesouza ผู้เขียนบล็อกเกี่ยวกับการค้นพบของเขาสำหรับ Brookings กล่าวว่าผลลัพธ์ที่ได้นั้นน้อยกว่าความมั่นใจ
“ประเด็นสำคัญที่เราค้นพบคือแม้ว่าภัยคุกคามจากการโจมตีโครงสร้างพื้นฐานที่สำคัญจะสูงเป็นประวัติการณ์ แต่หน่วยงานส่วนใหญ่ขาดแผนที่ชัดเจนเกี่ยวกับวิธีการลงทุนในความสามารถในการจัดการกับภัยคุกคามเหล่านี้และในหน่วยงานด้วย หากพวกเขามีแผนหรือการดำเนินการที่ชัดเจน ก็ไม่มีเมตริกการประเมินประสิทธิภาพที่แท้จริงที่จะเปิดเผยว่าการลงทุนเหล่านี้จะได้ผลตอบแทนจริงหรือไม่” Desouza กล่าวในการให้สัมภาษณ์กับ Federal News Radio “อีกสิ่งหนึ่งที่เราพบว่าค่อนข้างวิกฤต ยกเว้นกระทรวงพลังงานและกระทรวงกลาโหม ซึ่งคุณมีโครงการโครงสร้างพื้นฐานขนาดใหญ่ที่สำคัญแบบดั้งเดิม หน่วยงานที่เหลือแทบไม่สนใจปัญหานี้เลย หากคุณกำลังจะสร้างความเสียหายให้กับสหรัฐฯ
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ จัสติน ดับเบิลเดย์ และแขกรับเชิญจะสำรวจความคิดริเริ่มทางไซเบอร์และการปรับปรุงให้ทันสมัยที่ DIU ด้วยมุมมองของอุตสาหกรรม
Desouza กำหนดโครงสร้างพื้นฐานที่สำคัญเป็นน้ำ ไฟฟ้า
โทรคมนาคม และภาคดั้งเดิมอื่น ๆ ตลอดจนส่วนประกอบฮาร์ดแวร์และซอฟต์แวร์ของระบบ
แม้ว่าภาคเอกชนจะควบคุมประมาณร้อยละ 85 ของโครงสร้างพื้นฐานที่สำคัญทั้งหมด เดซูซากล่าวว่าหน่วยงานต่างๆ ยังคงมีความเสี่ยง พวกเขาไม่เพียงแต่ซื้อบริการเหล่านี้จากภาคเอกชนเท่านั้น แต่ 15 เปอร์เซ็นต์ที่ DoD, DoE หรือหน่วยงานอื่นๆ ควบคุมมักจะมีความเชื่อมโยงกลับไปยังภาคส่วนที่ไม่ใช่ภาครัฐ
“ภาคเอกชนลงทุนทรัพยากรจำนวนมหาศาลเพื่อปกป้องข้อมูล ข้อมูลและทุกอย่างที่เกี่ยวข้องกับโครงสร้างพื้นฐาน” เขากล่าว “อย่างไรก็ตาม ประเด็นสำคัญคือโดยไม่คำนึงถึงปริมาณความพยายามที่องค์กรเอกชนลงทุน หากจุดอ่อนนั้นเป็นของสาธารณะ 12 เปอร์เซ็นต์หรือ 18 เปอร์เซ็นต์ จุดอ่อนนั้นสามารถใช้เป็นจุดเริ่มต้นเพื่อใช้ประโยชน์จากสิ่งต่าง ๆ ต่อไปได้เนื่องจาก ลักษณะการเชื่อมต่อกันของโครงสร้างพื้นฐาน อีกสิ่งหนึ่งคือภาครัฐมีบทบาทในการกำหนดกรอบและระเบียบการกำกับดูแลเพื่อให้เกิดความร่วมมือระหว่างหน่วยงานต่างๆ และระหว่างหน่วยงานกับภาคเอกชนด้วย”
Desouza พบว่า 35 เปอร์เซ็นต์ของวัตถุประสงค์ของหน่วยงานมีองค์ประกอบด้านไอทีบางส่วน และประมาณ 12 เปอร์เซ็นต์เกี่ยวข้องกับเทคโนโลยีทั้งหมด แต่การวิจัยพบว่าครึ่งหนึ่งของแผนหน่วยงานทั้งหมดไม่ได้กล่าวถึงความปลอดภัยทางไซเบอร์ และน้อยกว่า 25 เปอร์เซ็นต์ของวัตถุประสงค์ด้านไอทีไม่ได้ระบุถึงความจำเป็นในการรักษาความปลอดภัยคอมพิวเตอร์หรือเครือข่ายของตน
นอกจากนี้ แผนกลยุทธ์ของหน่วยงานมักไม่ค่อยกล่าวถึงรายละเอียดด้านความปลอดภัยในโลกไซเบอร์ โดยส่วนใหญ่กล่าวถึงความพยายามที่กำลังดำเนินอยู่เพียงสั้นๆ
Desouza กล่าวว่าสาเหตุของข้อบกพร่องเหล่านี้มีหลากหลาย Desouza กล่าวว่าเขากำลังสัมภาษณ์ CIO ของภาครัฐ และเห็นได้ชัดว่ามีวัฒนธรรมและความท้าทายด้านความเป็นผู้นำซึ่งเป็นส่วนหนึ่งของการวิจัยในวงกว้าง ซึ่งทำให้เขาขาดการให้ความสำคัญกับความปลอดภัยทางไซเบอร์
