วุฒิสมาชิกเห็นช่องว่างในใบเรียกเก็บเงินของ FedRAMP เพื่อจัดการกับภัยคุกคามด้านความปลอดภัยของซัพพลายเชน

วุฒิสมาชิกเห็นช่องว่างในใบเรียกเก็บเงินของ FedRAMP เพื่อจัดการกับภัยคุกคามด้านความปลอดภัยของซัพพลายเชน

พรรครีพับลิกันอันดับต้น ๆ ในคณะกรรมาธิการความมั่นคงแห่งมาตุภูมิและกิจการภาครัฐของวุฒิสภากำลังมองหากฎที่เข้มงวดสำหรับการให้บริการคลาวด์ที่ปลอดภัยแก่รัฐบาลกลางFederal Secure Cloud Improvement and Jobs Actจะประมวลโปรแกรมการอนุญาตด้านความปลอดภัยบนคลาวด์ FedRAMP ให้เป็นกฎหมาย Gary Peters ประธาน HSGAC (D-Mich.) และ Sens. Maggie Hassan (DN.H.), Josh Hawley (R-Mo.)

 และ Steve Daines (R-Mont.) ได้แนะนำร่างกฎหมายในเดือนพฤศจิกายน

กฎหมายของวุฒิสภามีความคล้ายคลึงกับร่างกฎหมายที่เสนอโดยตัวแทน Gerry Connolly (D-Va.) ซึ่งสภาได้ผ่านเมื่อเดือนมกราคมและรวมอยู่ในเวอร์ชันของกฎหมาย National Defense Authorization Act ปีงบประมาณ 2022

ในแถลงการณ์ Connolly บอกกับ Federal News Network ว่ากฎหมาย “ทำให้เราเข้าใกล้การปฏิรูป ปรับปรุงประสิทธิภาพ และประมวลระบบความปลอดภัยทางไซเบอร์ที่สำคัญนี้สำหรับเทคโนโลยีคลาวด์ของรัฐบาลกลางไปอีกขั้นหนึ่ง”

        ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ

แต่สมาชิกการจัดอันดับ Rob Portman (R-Ohio) กล่าวว่าเขากำลังมองหาการปรับร่างกฎหมายและเปลี่ยนวิธีที่องค์กรประเมินบุคคลที่สาม (3PAO) ซึ่งเป็นองค์กรที่ได้รับการรับรองเพื่อให้แน่ใจว่าผลิตภัณฑ์

จากผู้ให้บริการระบบคลาวด์ตรงตามมาตรฐาน FedRAMP – ทำงานภายใต้โครงการนี้

“น่าประหลาดใจที่ผู้ให้บริการคลาวด์เป็นผู้เลือกว่าผู้ประเมิน 3PAO รายใดจะทำการประเมินความปลอดภัยของระบบคลาวด์ของตนและชำระเงิน สำหรับฉันแล้วนั่นทำให้เกิดความขัดแย้งทางผลประโยชน์” Portman กล่าวในการพิจารณาคดีโต๊ะกลมของคณะกรรมการเมื่อวันอังคาร

Portman และวุฒิสมาชิกคนอื่น ๆ ในคณะกรรมการเห็นว่าการเรียกเก็บเงินของ FedRAMP เป็นโอกาสในการยกระดับความปลอดภัยทางไซเบอร์ของรัฐบาลกลางหลังจากการละเมิด SolarWinds อย่างไรก็ตาม ทีมงานที่ดูแล FedRAMP กำลังเรียกร้องให้ฝ่ายนิติบัญญัติต่อต้านกฎหมายสนับสนุนที่จะจำกัดความยืดหยุ่นในการตอบสนองต่อภัยคุกคามที่เกิดขึ้นใหม่

Steve Kovac หัวหน้าเจ้าหน้าที่ปฏิบัติตามกฎระเบียบและหัวหน้าฝ่ายกิจการรัฐบาลทั่วโลกของ Zscaler กล่าวว่าผู้ให้บริการคลาวด์ที่เลือกให้ 3PAO ตรวจสอบผลิตภัณฑ์ของตนนั้นไม่แตกต่างจากบริษัทที่เลือกจากบริษัทบุคคลที่สามหลายแห่งเพื่อทำการตรวจสอบทางการเงินประจำปี

“นโยบายของ FedRAMP สอดคล้องกับการตรวจสอบอื่นๆ เกือบทั้งหมดที่เราดำเนินการทั่วโลกองค์กรของเรา ฉันคิดว่าคุณต้องเชื่อว่า 3 อบจ. ของคุณจะมีจริยธรรมและทำงานของพวกเขา และถ้าพวกเขาไม่ทำ ฉันเป็น [ผู้ให้บริการระบบคลาวด์] เราจะไล่พวกเขาออก — และฉันก็ทำสำเร็จแล้ว” Kovac กล่าว

Peters กล่าวว่าร่างกฎหมายนี้จะช่วยให้ “ความสามารถด้านระบบคลาวด์เชิงพาณิชย์ที่รวดเร็วและปลอดภัยยิ่งขึ้นในรัฐบาล ซึ่งจะปรับปรุงความปลอดภัยทางไซเบอร์และช่วยให้หน่วยงานต่าง ๆ สามารถให้บริการดิจิทัลที่ทันสมัยแก่ประชาชน”

Portman กล่าวว่าเขาสนับสนุนการประมวลโปรแกรม FedRAMP ให้เป็นกฎหมาย และการกล่าวว่าการนำระบบคลาวด์ที่ได้รับอนุญาตมาใช้ใหม่ภายใต้โปรแกรม FedRAMP ช่วยให้หน่วยงานไม่ต้องเสียค่าใช้จ่ายด้านไอทีเพิ่มอีก 716 ล้านดอลลาร์

อย่างไรก็ตาม เขากล่าวว่าโปรแกรมนี้ไม่เพียงพอเพื่อป้องกันแฮ็กเกอร์ที่สนับสนุนโดยรัฐซึ่งกำหนดเป้าหมายไปที่ระบบคลาวด์

  “ตอนนี้ เราไม่มีการป้องกันที่เพียงพอในการระบุและป้องกันการแทรกแซงจากสิ่งแปลกปลอมในระบบคลาวด์ของเรา และฉันเชื่อว่าสิ่งนั้นจะต้องเปลี่ยนแปลงก่อนที่เราจะจัดทำโปรแกรมนี้” Portman กล่าว

แม้ว่า FedRAMP จะมีการปรับปรุงให้ดีขึ้นในช่วง 10 ปีที่ผ่านมา แต่ Portman กล่าวว่าโปรแกรมนี้ยังคงประสบกับต้นทุนที่สูง ระยะเวลาที่ยาวนาน และกระบวนการตรวจสอบที่ไม่สอดคล้องกันในหน่วยงานต่างๆ ด้วยเหตุนี้ เขาจึงกล่าวว่าเอเจนซีมีข้อเสนอบริการคลาวด์ให้เลือกน้อยกว่าเมื่อเทียบกับหน่วยงานภาคเอกชน

Credit : สล็อตยูฟ่า / คืนยอดเสีย / เว็บสล็อตออนไลน์