บริษัทในสหรัฐฯ หลายแห่งจ้างภายนอกเพื่อพัฒนาซอฟต์แวร์เนื่องจากการขาดแคลนบุคลากร และบางส่วนของการเอาท์ซอร์สนั้นไปให้กับบริษัทในยุโรปตะวันออกที่มีความเสี่ยงต่อเจ้าหน้าที่รัสเซีย
· การป้องกันทางไซเบอร์แห่งชาติของสหรัฐฯ ถูกแบ่งระหว่างกระทรวงกลาโหมและกระทรวงความมั่นคงแห่งมาตุภูมิ ซึ่งทำให้ช่องว่างในอำนาจหน้าที่
การแฮ็ก SolarWindsเป็นมากกว่าการโจมตีทางไซเบอร์ที่ร้ายแรงที่สุดครั้งหนึ่งในประวัติศาสตร์ เป็นการละเมิดความมั่นคงของชาติครั้งใหญ่ซึ่งเผยให้เห็นช่องว่างในการป้องกันทางไซเบอร์ของสหรัฐฯ
ช่องว่างเหล่านี้รวมถึงการรักษาความปลอดภัยที่ไม่เพียงพอโดยผู้ผลิตซอฟต์แวร์รายใหญ่ อำนาจที่กระจัดกระจายสำหรับการสนับสนุนจากภาครัฐต่อภาคเอกชน และการขาดแคลนซอฟต์แวร์และทักษะด้านความปลอดภัยทางไซเบอร์ในระดับประเทศ ไม่มีช่องว่างเหล่านี้เชื่อมกันได้ง่ายๆ แต่ขอบเขตและผลกระทบของการโจมตี SolarWinds แสดงให้เห็นว่าช่องว่างเหล่านี้มีความสำคัญต่อความมั่นคงของชาติสหรัฐฯ เพียงใด
การละเมิด SolarWindsซึ่งน่าจะดำเนินการโดยกลุ่มที่เกี่ยวข้องกับบริการรักษาความปลอดภัย FSB ของรัสเซียทำลายห่วงโซ่อุปทานการพัฒนาซอฟต์แวร์ที่ SolarWinds ใช้เพื่ออัปเดตผู้ใช้ผลิตภัณฑ์การจัดการเครือข่าย Orion 18,000 ราย แฮ็คซึ่งถูกกล่าวหาว่าเริ่มต้นในต้นปี 2563 ถูกค้นพบในเดือนธันวาคมเท่านั้นเมื่อ บริษัท รักษาความปลอดภัยทางไซเบอร์FireEye เปิดเผยว่าถูกมัลแวร์โจมตี ที่น่าเป็นห่วงกว่านั้น อาจเป็นส่วนหนึ่งของการโจมตีรัฐบาลและเป้าหมายทางการค้าในวงกว้างในสหรัฐอเมริกา
ห่วงโซ่อุปทาน การรักษาความปลอดภัยที่เลอะเทอะ และการขาดแคลนผู้มีความสามารถ
ช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ – การรวบรวมส่วนประกอบซอฟต์แวร์และบริการพัฒนาซอฟต์แวร์ที่บริษัทใช้ในการสร้างผลิตภัณฑ์ซอฟต์แวร์ – เป็นปัญหาที่ทราบกันดีในด้านความปลอดภัย ในการตอบสนองต่อคำสั่ง ผู้บริหารในปี 2560 รายงานโดยหน่วยงานระหว่างหน่วยงานที่นำโดยกระทรวงกลาโหมระบุว่า “ระดับการพึ่งพาอาศัยจากต่างประเทศที่น่าประหลาดใจ” ความท้าทายด้านแรงงานและความสามารถที่สำคัญ เช่น การผลิตแผงวงจรพิมพ์ที่บริษัทต่างๆ กำลังย้ายออกนอกชายฝั่งเพื่อแสวงหาการแข่งขัน การกำหนดราคา ปัจจัยทั้งหมดเหล่านี้มีบทบาทในการโจมตี SolarWinds
SolarWinds ซึ่งได้รับแรงหนุนจากกลยุทธ์การเติบโตและแผนการที่จะแยกธุรกิจผู้ให้บริการที่มีการจัดการออกในปี 2564 นั้นต้องแบกรับความรับผิดชอบอย่างมากต่อความเสียหายดังกล่าว ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าว ฉันเชื่อว่าบริษัทเสี่ยงภัยโดยการจ้างบริษัทพัฒนาซอฟต์แวร์ไปยังยุโรปตะวันออกซึ่งรวมถึงบริษัทในเบลารุสด้วย เป็นที่ทราบกันดีว่าเจ้าหน้าที่รัสเซียใช้บริษัทต่างๆ ในอดีตประเทศดาวเทียมของสหภาพโซเวียตเพื่อแทรกมัลแวร์ลงในซัพพลายเชนซอฟต์แวร์ รัสเซียใช้เทคนิคนี้ในการโจมตี NotPetya ในปี 2560 ซึ่งทำให้บริษัททั่วโลกต้องเสียค่าเสียหายกว่า 10,000 ล้านเหรียญสหรัฐ
SolarWinds ยังล้มเหลวในการฝึกสุขอนามัยความปลอดภัยทางไซเบอร์ขั้นพื้นฐานตามที่นักวิจัยด้านความปลอดภัยทางไซเบอร์ Vinoth Kumar รายงานว่ารหัสผ่านสำหรับเซิร์ฟเวอร์การพัฒนาของบริษัทซอฟต์แวร์ถูกกล่าวหาว่า “solarwinds123” ซึ่งเป็นการละเมิดมาตรฐานพื้นฐานของความปลอดภัยทางไซเบอร์อย่างร้ายแรง การจัดการรหัสผ่านที่เลอะเทอะของ SolarWinds เป็นเรื่องน่าขันในแง่ของรางวัลการจัดการรหัสผ่านแห่งปีที่บริษัทได้รับในปี 2019 สำหรับผลิตภัณฑ์ Passportal
ในบล็อกโพสต์บริษัทยอมรับว่า “ผู้โจมตีสามารถหลีกเลี่ยงเทคนิคการตรวจจับภัยคุกคามที่ใช้โดย SolarWinds บริษัทเอกชนอื่นๆ และรัฐบาลกลาง”
คำถามที่ใหญ่กว่าคือเหตุใด SolarWinds บริษัทสัญชาติอเมริกันจึงต้องหันไปหาผู้ให้บริการจากต่างประเทศเพื่อพัฒนาซอฟต์แวร์ รายงาน ของกระทรวงกลาโหมเกี่ยวกับซัพพลายเชนระบุว่าการขาดวิศวกรซอฟต์แวร์เป็นวิกฤต ส่วนหนึ่งเป็นเพราะท่อส่งการศึกษาไม่ได้จัดหาวิศวกรซอฟต์แวร์ให้เพียงพอต่อความต้องการในภาคการค้าและการป้องกันประเทศ
ยังขาดแคลนผู้มีความสามารถด้านการรักษาความปลอดภัยทางไซเบอร์ในสหรัฐฯ วิศวกร นักพัฒนาซอฟต์แวร์ และวิศวกรเครือข่าย เป็นทักษะที่จำเป็นที่สุดในสหรัฐอเมริกาและการขาดวิศวกรซอฟต์แวร์ที่ให้ความสำคัญกับความปลอดภัยของซอฟต์แวร์โดยเฉพาะนั้นเป็นเรื่องร้ายแรง
การแบ่งแยกอำนาจ
แม้ว่าฉันจะโต้แย้งว่า SolarWinds มีอะไรให้ตอบอีกมาก แต่ก็ไม่ควรต้องป้องกันตัวเองจากการโจมตีทางไซเบอร์ที่จัดโดยรัฐด้วยตัวมันเอง ยุทธศาสตร์ไซเบอร์แห่งชาติปี 2018อธิบายว่าความปลอดภัยของห่วงโซ่อุปทานควรทำงานอย่างไร รัฐบาลกำหนดความปลอดภัยของผู้รับเหมาของรัฐบาลกลาง เช่น SolarWinds โดยทบทวนกลยุทธ์การจัดการความเสี่ยง ตรวจสอบให้แน่ใจว่าพวกเขาได้รับแจ้งถึงภัยคุกคามและจุดอ่อน และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นในระบบของพวกเขา
อย่างไรก็ตาม กลยุทธ์อย่างเป็นทางการนี้แบ่งความรับผิดชอบเหล่านี้ระหว่าง DOD สำหรับระบบการป้องกันและข่าวกรอง และกระทรวงความมั่นคงแห่งมาตุภูมิสำหรับหน่วยงานพลเรือน โดยยังคงใช้แนวทางแยกส่วนในการรักษาความปลอดภัยข้อมูลที่เริ่มต้นในยุคเรแกน การดำเนินการตามกลยุทธ์จะขึ้นอยู่กับคำสั่งทางไซเบอร์ของสหรัฐอเมริกา ของ DOD และหน่วย งานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของ DHS กลยุทธ์ของ DOD คือการ “ป้องกันไปข้างหน้า” นั่นคือเพื่อขัดขวางกิจกรรมทางไซเบอร์ที่เป็นอันตรายที่แหล่งที่มา ซึ่งพิสูจน์แล้วว่ามีประสิทธิภาพในการ เลือกตั้ง กลางเทอมปี 2018 สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน ซึ่งก่อตั้งขึ้นในปี 2561 มีหน้าที่รับผิดชอบในการให้ข้อมูลเกี่ยวกับภัยคุกคามต่อภาคโครงสร้างพื้นฐานที่สำคัญ.
ดูเหมือนไม่มีหน่วยงานใดส่งเสียงเตือนหรือพยายามลดการโจมตี SolarWinds การตอบสนองของรัฐบาลมีขึ้นหลังจากการโจมตีเท่านั้น สำนักงานรักษาความปลอดภัยไซเบอร์และโครงสร้างพื้นฐานได้ออกการแจ้งเตือนและคำแนะนำและมีการ จัดตั้ง กลุ่มประสานงานทางไซเบอร์เพื่ออำนวยความสะดวกในการประสานงานระหว่างหน่วยงานของรัฐบาลกลาง
แม้ว่าการกระทำทางยุทธวิธีเหล่านี้จะมีประโยชน์ แต่ก็เป็นเพียงวิธีแก้ปัญหาบางส่วนสำหรับปัญหาเชิงกลยุทธ์ที่ใหญ่กว่า การกระจายตัวของหน่วยงานสำหรับการป้องกันทางไซเบอร์ระดับชาติที่เห็นได้ชัดในการแฮ็ก SolarWinds เป็นจุดอ่อนเชิงกลยุทธ์ที่ทำให้การรักษาความปลอดภัยทางไซเบอร์มีความซับซ้อนสำหรับภาครัฐและเอกชน และเชิญชวนให้มีการโจมตีห่วงโซ่อุปทานซอฟต์แวร์มากขึ้น
ปัญหาร้ายๆ
การป้องกันภัยทางไซเบอร์แห่งชาติเป็นตัวอย่างของ “ ปัญหาที่ชั่วร้าย ” ซึ่งเป็นปัญหาด้านนโยบายที่ไม่มีแนวทางแก้ไขหรือวัดความสำเร็จที่ชัดเจน คณะกรรมาธิการ Cyberspace Solariumระบุถึงความไม่เพียงพอหลายประการของการป้องกันทางไซเบอร์ระดับชาติของสหรัฐฯ ในรายงานประจำปี 2020 คณะกรรมาธิการระบุว่า “ยังไม่มีความเป็นน้ำหนึ่งใจเดียวกันของความพยายามหรือทฤษฎีแห่งชัยชนะที่ชัดเจนซึ่งขับเคลื่อนแนวทางของรัฐบาลกลางในการปกป้องและรักษาความปลอดภัยไซเบอร์สเปซ”
ปัจจัยหลายประการที่ทำให้ความท้าทายในการพัฒนาการป้องกันทางไซเบอร์ระดับชาติแบบรวมศูนย์นั้นอยู่นอกเหนือการควบคุมโดยตรงของรัฐบาล ตัวอย่างเช่น แรงขับเคลื่อนทางเศรษฐกิจผลักดันบริษัทเทคโนโลยีให้นำผลิตภัณฑ์ออกสู่ตลาดอย่างรวดเร็ว ซึ่งอาจนำไปสู่การใช้ทางลัดที่บ่อนทำลายความปลอดภัย การออกกฎหมายตามแนวทางของกฎหมายGramm-Leach-Bliley Act ที่ผ่านในปี 2542 อาจช่วยจัดการกับความต้องการความเร็วในการพัฒนาซอฟต์แวร์ กฎหมายกำหนดข้อกำหนดด้านความปลอดภัยของสถาบันการเงิน แต่บริษัทพัฒนาซอฟต์แวร์มีแนวโน้มที่จะต่อต้านกฎระเบียบและการกำกับดูแลเพิ่มเติม
ฝ่ายบริหารของ Biden ดูเหมือนจะท้าทายอย่างจริงจัง ประธานาธิบดีได้แต่งตั้งผู้อำนวยการด้านความปลอดภัยทางไซเบอร์แห่งชาติเพื่อประสานงานความพยายามของรัฐบาลที่เกี่ยวข้อง ยังคงต้องจับตาดูว่าฝ่ายบริหารจะจัดการกับปัญหาของหน่วยงานที่กระจัดกระจายอย่างไรและอย่างไร และชี้แจงว่ารัฐบาลจะปกป้องบริษัทที่จัดหาโครงสร้างพื้นฐานดิจิทัลที่สำคัญได้อย่างไร มันไม่สมเหตุสมผลเลยที่จะคาดหวังว่าบริษัทในสหรัฐฯ จะสามารถป้องกันตัวเองจากการโจมตีทางอินเทอร์เน็ตของต่างประเทศได้
ก้าวไปข้างหน้า
ในระหว่างนี้ นักพัฒนาซอฟต์แวร์สามารถใช้แนวทางการพัฒนาซอฟต์แวร์ที่ปลอดภัยซึ่งสนับสนุนโดยสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ รัฐบาลและอุตสาหกรรมสามารถจัดลำดับความสำคัญของการพัฒนาปัญญาประดิษฐ์ที่สามารถระบุมัลแวร์ในระบบที่มีอยู่ได้ อย่างไรก็ตาม ทั้งหมดนี้ต้องใช้เวลา และแฮกเกอร์ก็เคลื่อนไหวอย่างรวดเร็ว
สุดท้ายนี้ บริษัทต่างๆ จำเป็นต้องประเมินจุดอ่อนของตนอย่างจริงจัง โดยเฉพาะอย่างยิ่งโดยมีส่วนร่วมใน กิจกรรม “red teaming ” มากขึ้น นั่นคือ การให้พนักงาน ผู้รับเหมา หรือทั้งสองทำหน้าที่เป็นแฮกเกอร์และโจมตีบริษัท
การตระหนักว่าแฮ็กเกอร์ที่ให้บริการฝ่ายตรงข้ามจากต่างประเทศนั้นทุ่มเท ละเอียดถี่ถ้วน และห้ามไม่ให้ถือเป็นสิ่งสำคัญสำหรับการคาดการณ์การเคลื่อนไหวครั้งต่อไปและการเสริมกำลังและปรับปรุงการป้องกันทางไซเบอร์ของสหรัฐฯ มิฉะนั้น SolarWinds ไม่น่าจะตกเป็นเหยื่อรายสุดท้ายของการโจมตีครั้งใหญ่ในซัพพลายเชนซอฟต์แวร์ของสหรัฐฯ
