แม้จะมีสิ่งที่ผู้นำกิจการทหารผ่านศึกกล่าวว่าเป็นความคืบหน้าในการเสริมกระบวนการรักษาความปลอดภัยด้านไอที แผนกจะได้รับคะแนนสอบตกในการตรวจสอบความปลอดภัยทางไซเบอร์ประจำปีที่สำคัญ ซึ่งเป็นปีที่ 16 ติดต่อกันที่ไม่ผ่านเกณฑ์ผู้ตรวจสอบทั่วไปของ VA จะไม่เผยแพร่รายละเอียดทั้งหมดของผลการตรวจสอบในปี 2014 จนกว่าจะถึงปีหน้า แต่เมื่อสัปดาห์ที่แล้ว IG ได้แจ้งให้แผนกทราบอย่างเป็นทางการว่าสรุปอีกครั้งว่า VA มีจุดอ่อนที่สำคัญเกี่ยวกับการปฏิบัติตามข้อมูลของรัฐบาลกลาง พระราชบัญญัติการจัดการความปลอดภัย (FISMA)
Stephen Warren หัวหน้าเจ้าหน้าที่สารสนเทศของ VA
และผู้บริหารที่รับผิดชอบสำนักงานสารสนเทศและเทคโนโลยี เปิดเผยผลการตรวจสอบให้นักข่าวทราบล่วงหน้าก่อนการพิจารณาของคณะกรรมการกิจการทหารผ่านศึกในวันอังคารซึ่งจะพิจารณาความท้าทายด้านความปลอดภัยทางไซเบอร์ภายใน VA
“ฉันผิดหวังและฉันรู้ว่าทีมผิดหวังเนื่องจากเวลาและความพยายามที่สำคัญที่เราใช้ในปีนี้” Warren กล่าว “แต่เราจะขับเคลื่อนต่อไปในเรื่องนี้ เราจะผลักดันต่อไปเพื่อเดินหน้าตามแผนที่เคร่งครัดและมีระเบียบวินัยที่ทีมได้รวบรวมไว้ เพื่อที่ว่าเมื่อทีมตรวจสอบปรากฏตัวในปีหน้า พวกเขาจะได้เห็นการปรับปรุงอย่างต่อเนื่องที่พวกเขาจำได้แม้ในฤดูกาลการตรวจสอบที่ผ่านมานี้”
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
ในการตรวจสอบในปี 2556 IG ได้ระบุช่องโหว่ด้านความปลอดภัยทางไซเบอร์ที่เฉพาะเจาะจงประมาณ 6,000 รายการ และให้คำแนะนำแยกต่างหาก 35 รายการเพื่อปิดจุดอ่อน การดำเนินการแก้ไขที่ IG แนะนำให้เรียกใช้ช่วงของฟังก์ชัน IT ทั่วไป รวมถึงการจัดการข้อมูลประจำตัวและการเข้าถึง การตอบสนองต่อเหตุการณ์ การจัดการการกำหนดค่า และการตรวจสอบอย่างต่อเนื่อง
ช่องโหว่ลดลง 21 เปอร์เซ็นต์
Warren ไม่สามารถให้รายละเอียดในทันทีว่าคำแนะนำของ IG จำนวนเท่าใดที่ยังไม่ได้รับการแก้ไข เนื่องจากข้อเสนอแนะรอบล่าสุดจะยังไม่ได้รับการสรุปจนกว่าสำนักงานจะออกรายงาน FISMA ฉบับสุดท้ายของปี 2014
แต่เจ้าหน้าที่ VA อีกคนที่ขอไม่เปิดเผยชื่อเนื่องจากผลลัพธ์ในปี 2014 ยังไม่เป็นที่สิ้นสุด กล่าวว่าแผนกจะโต้แย้งว่าเป็นไปตามมาตรฐานที่จำเป็นในการปิดหนังสืออย่างน้อย 18 ประเด็นจาก 35 ประเด็นที่ IG ระบุเมื่อปีที่แล้ว
Warren กล่าวว่าผู้ตรวจสอบยอมรับกับหัวหน้าแผนกว่าพวกเขามีความคืบหน้าอย่างเห็นได้ชัดต่อข้อกำหนด FISMA ในปีที่ผ่านมา IG บอกกับแผนกว่ารายการช่องโหว่ 6,000 รายการที่ระบุในปี 2556 ถูกตัดออก 21 เปอร์เซ็นต์
“แต่พวกเขาต้องการให้เราทำงานหนักขึ้นในสี่ด้านหลัก” วอร์เรนกล่าว “พวกเขาต้องการให้เราทำงานให้หนักขึ้นในแง่ของวิธีที่เราจัดการการกำหนดค่าของระบบนับล้านบวกของเรา และตรวจสอบให้แน่ใจว่าเรากำลังดำเนินการในลักษณะที่เป็นมาตรฐานและสอดคล้องกัน และผู้คนในไซต์ที่ทำงานนั้นกำลังดำเนินการอย่างสม่ำเสมอ มาตรฐาน นอกจากนี้ ในการควบคุมการเข้าถึง:
เราต้องแน่ใจว่าเมื่อมีคนเข้าและออกไป ระบบ HR ของเราเชื่อมโยงกับระบบ IT ของเราในแง่ของใครเข้าถึงและทำไม ในการจัดการความปลอดภัย เราจำเป็นต้องดำเนินการอย่างเต็มที่ — จากมุมมองของผู้ตรวจสอบ — การย้ายจากการรับรองแบบครั้งเดียวเป็นการตรวจสอบระบบของเราอย่างต่อเนื่อง พวกเขาชี้ให้เห็นบางจุดที่เราต้องทำมากกว่านี้ สุดท้ายคือด้านการจัดการฉุกเฉิน เราต้องทำให้แน่ใจว่าเรามีการควบคุมที่ดีขึ้นในพื้นที่นั้น”
Warren กล่าวว่า VA มีแผนโดยละเอียดอยู่แล้วซึ่งใช้ในการปรับปรุงท่าทางความปลอดภัยทางไซเบอร์ในช่วงฤดูการตรวจสอบปี 2014 และเริ่มปรับเปลี่ยนแผนเพื่อจัดการกับข้อกังวลที่ได้รับการปรับปรุงของ IGแต่เขายังแย้งว่าจำเป็นต้องมีมุมมองบางอย่างในการวัดความสำคัญของตัวเลข เช่น ปัญหาด้านความปลอดภัย 6,000 รายการที่ IG ชี้ให้เห็นในตอนแรก เขากล่าวว่าแม้ว่าจะฟังดูเป็นจำนวนมาก แต่ก็อาจทำให้เข้าใจผิดได้เมื่อพิจารณาจากขนาดขององค์กรด้านไอทีของ VA
