ฉันทามติกำลังเพิ่มขึ้นตามชุดคำแนะนำที่รัฐบาลกลางสามารถนำไปปฏิบัติเพื่อช่วยปกป้องทั้งภาครัฐและเอกชนจากการโจมตีทางไซเบอร์ที่สำคัญ จากการละเมิดของ SolarWinds คณะกรรมการข่าวกรองของวุฒิสภาได้หันไปหาอุตสาหกรรมเพื่อขอคำแนะนำเกี่ยวกับวิธีการทำให้แน่ใจว่าเหตุการณ์แบบนั้นจะไม่เกิดขึ้นอีก“ในขณะที่หลายแง่มุมของการประนีประนอมนี้มีลักษณะเฉพาะ การแฮ็กของ SolarWinds ยังได้เน้นย้ำถึงปัญหาต่างๆ ที่เราเพิกเฉยมานานเกินไป
นี่เป็นโอกาสให้เราได้ไตร่ตรองและดำเนินการ” ประธานคณะกรรมการ Mark Warner (D-Va.)
กล่าวระหว่างการพิจารณาคดีเมื่อวันที่ 24 กุมภาพันธ์ “ผู้คนจำนวนมากเสนอวิธีแก้ปัญหา รวมถึงข้อกำหนดการรายงานที่จำเป็น … และปรับปรุงการแบ่งปันข้อมูลภัยคุกคามระหว่างรัฐบาลและภาคเอกชนอย่างมีนัยสำคัญ”
นี่ไม่ใช่คำแนะนำใหม่ Cyberspace Solarium Commission สนับสนุนทั้งสองสิ่งนี้ในรายงานเดือนมีนาคม 2020 ส.ว. ซูซาน คอลลินส์ (อาร์-เมน) เรียกร้องให้มีการรายงานเหตุการณ์ทางไซเบอร์ที่จำเป็นตั้งแต่ปี 2012 เป็นอย่างน้อย เมื่อเธอแนะนำกฎหมายความมั่นคงทางไซเบอร์ปี 2012 แต่ถึงแม้ร่างกฎหมายดังกล่าวจะไม่ผ่าน ผู้เชี่ยวชาญก็เริ่มเข้ามาใกล้ประเด็นของเธอ ดู.
ข้อมูลเชิงลึกโดย Sumo Logic: ในการสัมมนาทางเว็บฉบับพิเศษของ Ask the CIO เจสัน มิลเลอร์และแขกรับเชิญของเขา เจฟฟ์ ชิลลิงจากสถาบันมะเร็งแห่งชาติและจอร์จ เกอร์โชวแห่งซูโมลอจิกจะเจาะลึกว่าการจัดการข้อมูลและระบบคลาวด์ขับเคลื่อนกลยุทธ์การปรับปรุงไอทีให้ทันสมัยที่ National Cancer ได้อย่างไร สถาบัน.
“ผมคิดว่าถึงเวลาที่จะต้องไปในทิศทางนั้นแล้ว ฉันคิดว่าวุฒิสมาชิกคอลลินส์มาก่อนเวลาหรือพวกเราที่เหลือช้ากว่าเรา” แบรด สมิธ ประธานไมโครซอฟท์กล่าวระหว่างการพิจารณาคดี
“เราควรแจ้งให้รัฐบาลสหรัฐฯ ส่วนหนึ่งทราบ ซึ่งจะรับผิดชอบ
ในการรวบรวมข้อมูลข่าวกรองภัยคุกคาม และตรวจสอบให้แน่ใจว่าข้อมูลดังกล่าวนำไปใช้ประโยชน์ในการปกป้องประเทศ และสำหรับเรื่องนั้น ต่อผู้คนที่อยู่นอกประเทศด้วย ฉันคิดว่าเราต้องตัดสินใจว่าใครควรตกเป็นของหน้าที่ มันควรจะตกอยู่กับพวกเราในภาคเทคโนโลยีซึ่งอยู่ในธุรกิจที่ให้บริการองค์กรและบริการอื่น ๆ อย่างแน่นอน ฉันคิดว่าเป็นความคิดที่ดีที่จะพิจารณาการคุ้มครองความรับผิดบางประเภทที่จะทำให้ผู้คนสบายใจมากขึ้นในการทำเช่นนี้ นี่เป็นเรื่องเกี่ยวกับการย้ายข้อมูลอย่างรวดเร็วไปยังที่ที่ถูกต้องเพื่อให้สามารถนำไปใช้ประโยชน์ได้”
อย่างไรก็ตาม คำถามหนึ่งที่ต้องแก้ไขคือควรแจ้งหน่วยงานใด? Warner ตั้งข้อสังเกตว่า FBI ไม่ได้อยู่ในธุรกิจของการแบ่งปันข้อมูล และในขณะที่ “ทักษะของ Cybersecurity และ Infrastructure Security Agency ยังคงได้รับการอัปเกรดอย่างต่อเนื่อง” อาจจำเป็นต้องใช้รูปแบบที่แตกต่างกันโดยสิ้นเชิง
สำหรับรูปแบบทางเลือกเหล่านั้น Warner ชี้ไปที่เครือข่ายการบังคับใช้อาชญากรรมทางการเงินของกรมธนารักษ์และคณะกรรมการความปลอดภัยการขนส่งแห่งชาติ ซึ่งมักถูกจัดให้เป็นต้นแบบสำหรับ “สำนักสถิติไซเบอร์” ที่เสนอโดย Cyberspace Solarium ในขณะที่ FireEye’s Kevin Mandia ซีอีโอชี้ให้เห็นถึงการแบ่งปันข้อมูลในอุตสาหกรรมบัตรเครดิต
“มันคล้ายกับข้อตกลงในการดำเนินการสำหรับทุกคนที่ยอมรับการใช้บัตรเครดิต ข้อตกลงในการดำเนินงานของวีซ่า” Mandia กล่าว “คุณมีเวลา 24 ชั่วโมงในการเริ่มแบ่งปันข้อมูลโดยไม่คำนึงว่าเมื่อคุณรู้แล้ว และไม่ได้ขึ้นอยู่กับทุกสิ่งที่คุณอาจสูญเสียไป คุณต้องนำข้อมูลข่าวกรองมาไว้ในมือของคนที่เริ่มปกป้องประเทศชาติได้เร็วกว่าที่เราทำอยู่ทุกวันนี้”
