ตกระทรวงกลาโหมกำลังทำการเปลี่ยนแปลงที่สำคัญบางอย่างในกระบวนการที่ใช้เพื่อให้แน่ใจว่าเทคโนโลยีมือถือเชิงพาณิชย์มีความปลอดภัยเพียงพอสำหรับเครือข่ายทางทหาร โดยย้ายจากกระบวนการที่ได้รับการจัดการส่วนใหญ่โดยหน่วยงานระบบสารสนเทศกลาโหมไปสู่กระบวนการที่ต้องพึ่งพาห้องปฏิบัติการส่วนตัวมากกว่า ประสานงานโดยสำนักงานความมั่นคงแห่งชาติในวันพฤหัสบดี DISA ได้เผยแพร่คำแนะนำสำหรับการอนุมัติแอปพลิเคชันบนอุปกรณ์เคลื่อนที่
ซึ่งจะย้ายกระบวนการตรวจสอบความปลอดภัยไปสู่กรอบที่เรียกว่า
National Information Assurance Partnership (NIAP) แทนที่คู่มือข้อกำหนดด้านความปลอดภัยสำหรับแอปพลิเคชันบนอุปกรณ์เคลื่อนที่ของ DISA ในเดือนกันยายน หน่วยงานได้ออกคำแนะนำที่คล้ายกันมากสำหรับการจัดการอุปกรณ์เคลื่อนที่และ “พื้นฐานอุปกรณ์เคลื่อนที่”
เจ้าหน้าที่เชื่อว่าเป็นอีกขั้นตอนหนึ่งในการเพิ่มประสิทธิภาพกระบวนการตรวจสอบความปลอดภัยซึ่งเป็นปัญหาคอขวดในการใช้เทคโนโลยีมือถือของ DoD
ในท้ายที่สุด เทคโนโลยีเชิงพาณิชย์ใดๆ ก็ยังต้องการ Security Technical Implementation Guide (STIG) ของตัวเองก่อนที่จะได้รับอนุญาตให้ใช้งานบนเครือข่าย DoD แต่ STIG เหล่านั้น ซึ่งเคยอิงตามการรื้อค้นและการตรวจสอบโดยละเอียดของผลิตภัณฑ์เทคโนโลยีแต่ละรายการโดยวิศวกรของรัฐบาล ควรจะเขียนได้เร็วกว่าและง่ายกว่ามาก เนื่องจากข้อมูลพื้นฐานส่วนใหญ่ที่จำเป็นในการสร้างผลิตภัณฑ์เหล่านั้นจะถูกสร้างขึ้นโดยอัตโนมัติเมื่อผู้ขาย นำเทคโนโลยีของพวกเขาผ่านกระบวนการ NIAP ซึ่งอาศัยห้องปฏิบัติการอิสระที่ได้รับการรับรองจาก NSA
รัฐบาลกำลังต่อสู้กับกลไกในการพิจารณาว่าห่วงโซ่อุปทานซอฟต์แวร์
ของตนมีความปลอดภัยหรือไม่ ดาวน์โหลด ebook เล่มใหม่ของเราเพื่อรับภาพรวมจากผู้นำที่ CISA, IT Industry Council และ DoD’s National Counterintelligence and Security Center ถึงความพยายามในปัจจุบัน
NIAP เองก็ไม่ใช่เรื่องใหม่เสียทีเดียว เป็นเวลา 14 ปีแล้ว ผู้ขายไม่ได้ติดใจกับการทำซ้ำครั้งก่อนๆ ที่มักจะต้องเสียเงินหลายล้านดอลลาร์ และบ่อยครั้งหลายปีก่อนที่พวกเขาจะได้ผลิตภัณฑ์ชิ้นเดียวผ่านถุงมือ แต่กระบวนการนี้ได้รับการปรับปรุงใหม่เมื่อไม่นานมานี้ แทนที่จะขอให้ห้องปฏิบัติการทดสอบผลิตภัณฑ์ทีละรายการและกำหนด “ระดับการรับประกัน” ตามความคิดเห็นของตนเอง ขณะนี้โปรแกรม NIAP จัดทำเอกสารชุด “โปรไฟล์การป้องกัน” ตามวัตถุประสงค์มากขึ้น ซึ่งเทคโนโลยีประเภทต่างๆ จำเป็นต้องได้รับก่อนที่จะถือว่า ปลอดภัยทางไซเบอร์
ดูเหมือนว่าจะใช้งานได้ – ตราบใดที่ผู้ขายเต็มใจที่จะนำผลิตภัณฑ์ของตนเข้าสู่กระบวนการซึ่งพวกเขาต้องจ่าย
ความพยายามครั้งแรกของ DoD ในการใช้ STIG กับอุปกรณ์ Android หมายความว่าผลิตภัณฑ์ไม่ได้อยู่ในตลาดเมื่อได้รับการอนุมัติ ในทางตรงกันข้าม เมื่อต้นปีนี้ Samsung สามารถรับ Galaxy S5 และอุปกรณ์อื่น ๆ อีกหลายเครื่องผ่าน NIAP ก่อนที่จะวางจำหน่ายในร้านค้า
NIAP เป็นการดำเนินการของรัฐบาลสหรัฐฯ ตามแนวทาง 26 ประเทศในการทดสอบความปลอดภัยทางไซเบอร์: โครงการประเมินและตรวจสอบเกณฑ์ทั่วไป (CCEVS) มีไว้เพื่อใช้เป็นเกณฑ์มาตรฐานทั่วไปสำหรับความปลอดภัยทางไซเบอร์ที่หน่วยงานทั้งหมดและบริษัทเชิงพาณิชย์สามารถใช้ได้
