ใครก็ตามที่เข้าร่วมการประชุมด้านความปลอดภัยในโลกไซเบอร์ในช่วง 5 ปีที่ผ่านมาจะเคยได้ยินผู้พูดจากรัฐบาลหลายคนประกาศว่านี่คือปีที่เราจะเลิกใช้ชื่อผู้ใช้และรหัสผ่านเพื่อวัตถุประสงค์ด้านไอทีของรัฐบาลกลาง รหัสผ่านนั้นค่อนข้างง่ายที่จะขโมย และธรรมชาติของมนุษย์ก็เป็นเช่นนั้น ผู้ดูแลระบบบางคนใช้รหัสผ่านเดียวกันเพื่อสั่งพิซซ่าและเข้าสู่ระบบความปลอดภัยแห่งชาติแต่กองทัพเรือดูเหมือนจะจริงจังมากในครั้งนี้ ข้อความ ถึงกองเรือลงวันที่ 5 ก.พ. ระบุว่าผู้ดูแลระบบของระบบที่ไม่ได้จัดประเภททั้งหมดมีเวลาเหลืออีกเพียงหนึ่งสัปดาห์ในการดำเนินการตรวจสอบสิทธิ์แบบสองปัจจัยโดยใช้
Common Access Cards ซึ่งเป็นการนำข้อมูลรับรองการ
ยืนยันตัวตนส่วนบุคคล (PIV) ของ DoD ที่ประธานาธิบดีจอร์จ ดับเบิลยู บุชสั่งใช้เป็นครั้งแรก หน่วยงานที่จะเปิดตัวพร้อมกับ Homeland Security Presidential Directive 12 ในปี 2547
แม้ว่า DoD จะกำหนดให้ใช้การ์ด CAC ที่ใช้ประโยชน์จากโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เพื่อเข้าสู่ระบบเวิร์กสเตชันส่วนใหญ่เป็นเวลาหลายปีแล้ว แต่ฐานข้อมูลที่สร้างขึ้นตามวัตถุประสงค์หลายพันรายการภายในไฟร์วอลล์ของ DoD ได้ดำเนินการภายใต้การยกเว้นที่อนุญาตให้เข้าถึงได้ด้วยชื่อผู้ใช้และ รหัสผ่าน ในกรณีของกองทัพเรือ การสละสิทธิ์ส่วนใหญ่กำลังจะหายไป
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
“ข้อยกเว้น PKI ที่ได้รับอนุมัติทั้งหมดจะถูกยกเลิก ยกเว้นบัญชีบนเครือข่าย ระบบ หรือแอปพลิเคชันที่ไม่สามารถใช้โซลูชันในการตรวจสอบสิทธิ์แบบสองปัจจัยในทางเทคนิคได้” ตามนโยบายใหม่ ซึ่งกำหนดมาตรฐานที่ค่อนข้างสูงสำหรับระบบที่เป็น “ ไม่สามารถทางเทคนิค” เพื่อจัดการกับ PKI เจ้าของระบบจะต้องโน้มน้าวใจนายพลในสายการบังคับบัญชาของตนว่าแอปพลิเคชันของพวกเขามอบความสามารถที่กองทัพเรือขาดไม่ได้ และอธิบายว่าทำไมระบบนั้นยังไม่สามารถจัดการเพื่อย้ายไปยังการรับรองความถูกต้องด้วยสองปัจจัย
ระบบจำแนกประเภท ซึ่งทำงานบน SIPRNet ของ DoD จะมีเวลาเพิ่มขึ้นอีกเล็กน้อยเพื่อให้สอดคล้องกับนโยบายใหม่ เนื่องจากเพนตากอนไม่ได้เริ่มเปิดตัวระบบสมาร์ทการ์ด PKI สำหรับเครือข่ายอินเทอร์เน็ตโปรโตคอลลับจนกระทั่งหลายปีหลังจากนั้น ทำเช่นนั้นสำหรับระบบที่ไม่ได้จัดประเภท แต่ผู้
ดูแลระบบจำแนกจะต้องปฏิบัติตามข้อจำกัดเดียวกันภายในสิ้นเดือนกรกฎาคม
ขออภัยที่ต้องรายงานว่า การแสวงหา GSA และหน่วยงานอื่น ๆ ที่ดูเหมือนไม่มีวันจบสิ้นของฉันดูเหมือนจะทำให้คำสั่งงานเปิดเผยต่อสาธารณะแม้ว่าคุณจะไม่สามารถเสนอราคาก็ตาม — Mr. Sharpe: ทลายกำแพงนี้
โชคดีที่ GSA ได้เริ่มกระบวนการปรับปรุงพอร์ทัล FedBizOpps.gov ให้ทันสมัย ซึ่งหลายคนบอกว่าเป็นหนึ่งในเว็บไซต์ที่แย่ที่สุดในหน่วยงานรัฐบาล
GSA ออกคำขอเสนอราคาผ่านสัญญาการเข้าซื้อกิจการของรัฐบาล Alliant Small Business ย้อนกลับไปในกรอบเวลาเดือนธันวาคมและการเสนอราคาจะครบกำหนดในเดือนมกราคมหรือกุมภาพันธ์ — มันไม่ชัดเจนทั้งหมดเนื่องจาก GSA ปล่อย RFQ เบื้องหลัง “ไฟร์วอลล์” ของ Alliant ซึ่งหมายถึง (ย้อนกลับไป ไปที่กล่องสบู่ เริ่มต้นของฉัน ) ประชาชนไม่สามารถดูรายละเอียดใด ๆ ของการจัดซื้อแม้ว่านี่จะเป็นเงินของผู้เสียภาษีและความโปร่งใสเป็นเป้าหมายหลักของรัฐบาลโอบามา
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
โฆษกหญิงของ GSA ยืนยันว่าการเสนอราคาใน RFQ ถูกปิดแล้ว และหน่วยงานกำลังประเมินข้อเสนอ สำหรับเครดิตของพวกเขา GSA ยังให้สำเนา RFQ แก่ฉันด้วย แทนที่จะเป็นสิ่งที่มักจะเกิดขึ้น ซึ่งสำหรับฉันแล้ว ฉันต้องไปที่อุตสาหกรรมเพื่อรับสำเนา
ทำไมถึงเป็นช่วงเวลาที่ยิ่งใหญ่?
พอร์ทัล FedBizOpps ติดอยู่ในยุค 2000 เว็บไซต์นี้ใช้งานยาก มีการอัปเกรดที่สังเกตเห็นได้น้อยในช่วงทศวรรษที่ผ่านมา และบางทีน่ารำคาญที่สุด เมื่อคุณทำการค้นหา คลิกที่ผลลัพธ์ แล้วต้องการกลับไปที่ผลการค้นหา คุณจะต้อง “โหลดซ้ำ” หน้าทำให้ปุ่ม “ย้อนกลับ” ไร้ประโยชน์ เอาเลย GSA การอัปเกรดนี้ไม่ใช่เรื่องยาก
เหนือสิ่งอื่นใด บริษัทที่ดำเนินการ FedBizOpps.gov ถูกระงับจากการจัดซื้อจัดจ้างของรัฐบาลกลางตั้งแต่เดือนกันยายนจนถึงมกราคม และถือสัญญามานานกว่าทศวรรษ
Symplicity Corporation ชนะสัญญาให้ดำเนินการ FedBizOpps ในปี 2548 และในเดือนพฤษภาคม 2557 Ariel Friedler อดีตเจ้าของบริษัท ได้สารภาพในศาลรัฐบาลกลางว่าสมรู้ร่วมคิดในการเจาะระบบคอมพิวเตอร์ของคู่แข่งในภาคการศึกษาสองรายเพื่อปรับปรุงการพัฒนาซอฟต์แวร์ของบริษัทและกลยุทธ์การขาย ฟรีดเลอร์ลาออกจาก Symplicity ทันทีและถูกแทนที่ด้วยซีอีโอคนใหม่
รัฐบาลตัดสินใจระงับบริษัทเป็นเวลาสี่เดือน หมายความว่าบริษัทสามารถทำงานบน FedBizOpps.gov และระบบอื่นๆ ของรัฐบาลได้ต่อไป รวมถึงระบบการรายงานการรับเหมาช่วงทางอิเล็กทรอนิกส์ (eSRS),
