ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงนับตั้งแต่มีการเปิดตัวสมาร์ทโฟนรุ่นใหม่เข้าสู่ตลาดการค้าเมื่อหลายปีก่อน ผู้ใช้เทคโนโลยีในกระทรวงกลาโหมต่างร้องขอการอนุญาตให้ใช้ Apple, Android และอุปกรณ์พกพาที่ทันสมัยอื่นๆ ในการทำงานประจำวันของพวกเขาอย่างไรก็ตาม กระบวนการตรวจสอบความปลอดภัยที่ยากลำบากของ DoD นั้นจำเป็นสำหรับฝ่ายไอที ซึ่งทำให้ผู้ใช้ทางทหารไม่สามารถเชื่อมต่อเทคโนโลยีมือถือล่าสุดกับเครือข่ายของรัฐบาลได้
แท้จริงแล้ว มีมากกว่าหนึ่งกรณี งานเอกสารและเอกสารที่จำเป็น
ในการรักษาความปลอดภัยและอนุมัติอุปกรณ์ใช้เวลานานมากเสียจนอุปกรณ์ดังกล่าวออกจากตลาดเมื่อได้รับไฟเขียวจาก DoDแต่กระบวนการดังกล่าวกลับสั่นคลอนอย่างมากในสัปดาห์นี้ เมื่อหน่วยงานระบบข้อมูลกลาโหม ซึ่งเป็นหน่วยงานของกระทรวงกลาโหมที่รับผิดชอบการตรวจสอบความปลอดภัยด้านไอที เผยแพร่คู่มือการใช้งานทางเทคนิคด้านความปลอดภัย (STIG) สำหรับ Samsung Knox ซึ่งเป็น Android เวอร์ชันเสริมความแข็งแกร่ง ก่อนระบบปฏิบัติการ มีจำหน่ายแม้ในตลาดการค้า
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
John Hickey ผู้จัดการโปรแกรมระบบเคลื่อนที่ของ DISA กล่าวว่าหน่วยงานสามารถลงนามใน Knox ได้อย่างรวดเร็ว เนื่องจากวิศวกรของ Samsung ได้ตรวจสอบข้อกำหนดด้านความปลอดภัยของ DoD อย่างใกล้ชิดแล้ว ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการเวอร์ชันของพวกเขาเป็นไปตามข้อกำหนดดังกล่าว และเขียน STIG ด้วยตนเอง
“งานส่วนใหญ่ทำจากฝั่งผู้ขาย เราแค่ทำรีวิว” เขากล่าวในการสัมภาษณ์ “นั่นแตกต่างอย่างสิ้นเชิงจากที่เราเคยทำในอดีต ที่เรารอให้ผลิตภัณฑ์ออกมา จากนั้นเราเริ่มถามว่า ‘คุณช่วยปิดสิ่งนี้ได้ไหม’ นั่นเป็นกระบวนการที่ยาวนาน นี่คือเรื่องราวความสำเร็จและตัวอย่างวิธีการทำในอนาคต”
การอนุมัติ DISA ที่ออกในสัปดาห์นี้สำหรับ Knox และ BlackBerry 10 เป็น
ไปตามกระบวนการอนุมัติด้านความปลอดภัยที่ปรับปรุงใหม่สำหรับไอที แทนที่จะให้แผนกสร้าง STIGs เองหลังจากที่ผลิตภัณฑ์ออกสู่ตลาดแล้ว DoD กำลังเผยแพร่คู่มือข้อกำหนดด้านความปลอดภัยสำหรับเทคโนโลยีสารสนเทศประเภทต่างๆ เพื่อให้ผู้ขายทราบข้อกำหนดของรัฐบาลล่วงหน้า ประกอบเข้ากับผลิตภัณฑ์ของตน เป็นเจ้าของ STIGs ที่ให้รายละเอียดเกี่ยวกับมาตรการเพิ่มเติมใดๆ ที่จำเป็นต้องดำเนินการเพื่อรักษาความปลอดภัยของผลิตภัณฑ์ตามข้อกำหนดของ DoD
DoD มีเป้าหมายที่จะอนุมัติอุปกรณ์ใหม่ใน 30 วัน
Hickey กล่าวว่ากระบวนการใหม่นี้มีความสำคัญอย่างยิ่งต่อเป้าหมายของ DoD ซึ่งระบุไว้ใน แผนการใช้งานอุปกรณ์พกพาล่าสุดโดยอนุมัติอุปกรณ์มือถือใหม่ภายใน 30 วันหลังจากเปิดตัวสู่ตลาด กระบวนการอนุมัติอย่างรวดเร็วสามารถทำซ้ำได้สำหรับอุปกรณ์อื่น ๆ เขากล่าว แต่ขึ้นอยู่กับความตั้งใจของผู้ผลิตที่จะทำงานร่วมกับแผนกก่อนการเปิดตัวผลิตภัณฑ์อย่างเป็นทางการ
“พวกเขาต้องดูและพูดคุยและสื่อสารกับเราตั้งแต่เนิ่นๆ และถามคำถามยากๆ เหล่านั้นภายในวงจรการพัฒนาของพวกเขา” เขากล่าว “พวกเขายังต้องเต็มใจที่จะลงทุนงานบางอย่างและความสามารถด้านวิศวกรรมบางอย่าง และเราต้องเติบโตในฝั่งรัฐบาลเพื่อให้เรามีความคล่องตัวเนื่องจากเรามีอุปกรณ์เข้ามาในสภาพแวดล้อมมากขึ้นเรื่อยๆ ดังนั้นเราจึงดำเนินการตามขั้นตอนของเราเพื่อเสริมกระบวนการอนุมัติมือถือด้วยเช่นกัน”
แต่ Hickey กล่าวว่า ณ จุดนี้ บริษัทส่วนใหญ่ไม่จำเป็นต้องเชื่อมั่นว่าคุ้มค่ากับการลงทุนเวลาและเงินเพิ่มเติมเพื่อให้เป็นไปตามข้อกำหนดของ DoD
แผนกนี้กำลังทำงานผ่านคณะทำงานด้านกลยุทธ์ดิจิทัลของรัฐบาลกลางเพื่อเสนอกระบวนการ STIG และ SRG ให้เป็นคำตอบที่เป็นไปได้ของรัฐบาลสำหรับการอนุมัติด้านความปลอดภัย และเขากล่าวว่าข้อกำหนดด้านความปลอดภัยของ DoD นั้นไม่ได้แตกต่างอย่างมากจากสิ่งที่องค์กรภาคเอกชนขนาดใหญ่หลายแห่งต้องการให้มีในอุปกรณ์พกพาที่ปรับใช้“ถ้าเป็นเพียง DoD ก็ไม่มีตลาดเพียงพอสำหรับพวกเขาที่จะพิสูจน์การเปลี่ยนแปลงทั้งหมดเหล่านี้ แต่สิ่งที่ DoD เสนอสามารถแปลไปสู่โลกการธนาคารและพื้นที่อื่น ๆ ได้” เขากล่าว “ความสามารถของ DoD ในการสร้างมาตรฐานที่พวกเขาสามารถใช้ได้และพูดว่า ‘นี่เป็นมาตรฐานที่ดี มีการรักษาความปลอดภัยในตัว’ เป็นสิ่งที่สามารถแปลไปสู่ตลาดการค้าได้ ฉันคิดว่านั่นคือเหตุผลที่ทำให้ Samsung ประสบความสำเร็จ”
STIG ที่ได้รับอนุมัติไม่ได้หมายความว่าอุปกรณ์ Samsung Knox จะได้รับอนุญาตให้ใช้งานบนเครือข่าย DoD ได้ทันที แม้ว่าจะอยู่ระหว่างการผลิตก็ตาม อุปกรณ์พกพาของ Apple จะไม่ได้รับอนุญาตเมื่อ STIG ของพวกเขาได้รับการอนุมัติในอีกไม่กี่วันข้างหน้า ขั้นแรก DISA จำเป็นต้องติดตั้งระบบการจัดการ
