ทีม Mobile Technology Tiger ของสภาประธานเจ้าหน้าที่สารสนเทศของรัฐบาลกลางกำลังแนะนำให้ใช้มาตรฐานของกระทรวงกลาโหมในการตรวจสอบความปลอดภัยของแอปพลิเคชันมือถือเป้าหมายสูงสุดคือการทำให้หน่วยงานต่างๆ พัฒนาและใช้แอปพลิเคชันที่มีความสำคัญต่อภารกิจบนสมาร์ทโฟนหรือแท็บเล็ตได้ง่ายและปลอดภัยยิ่งขึ้น Rob Palmer หัวหน้าทีม Mobility Technology Tiger และผู้อำนวยการประกันข้อมูลของ Homeland Security Department กล่าวว่า CIO Council จะเลือกโปรไฟล์การป้องกันของ National Information Assurance Partnership (NIAP) สำหรับแอพมือถือ
เป็นมาตรฐานสำหรับรัฐบาล
“โครงการ NIAP จะเป็นที่ที่เราจะรวบรวมงานทั้งหมดที่ทำเสร็จแล้วไว้ในที่ที่เราสามารถตรวจสอบแก้ไขได้อย่างต่อเนื่อง และนั่นเป็นสิ่งที่ภาคอุตสาหกรรมเข้ามาเกี่ยวข้องด้วย” พาล์มเมอร์กล่าวเมื่อวันพุธที่งาน Federal Mobile Computing Summit สนับสนุนโดย MobileGov ในวอชิงตัน “อุตสาหกรรมสามารถมีส่วนร่วมได้ ไม่ใช่แค่แนวทางของรัฐบาลกลางที่ถูกผลักดัน แต่เป็นกระบวนการแบบโต้ตอบและซ้ำแล้วซ้ำอีก”
การตัดสินใจนี้ไม่ได้หมายความว่า NIAP จะอนุมัติหรือตรวจสอบแอปบนอุปกรณ์เคลื่อนที่ทั้งหมด Palmer กล่าวว่าเอเจนซี่และผู้ขายแต่ละรายจะใช้โปรไฟล์การป้องกันที่ NIAP สร้างขึ้นและพัฒนาอย่างต่อเนื่องเป็นพื้นฐานสำหรับการตรวจสอบแอพมือถือของพวกเขา
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ
CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
เขากล่าวว่าแนวทางของ NIAP เป็นรากฐานที่ดีที่ก่อให้เกิดการทำงานร่วมกันและการประสานงานมากกว่าแนวทางที่ต่างกันซึ่งหน่วยงานส่วนใหญ่ใช้ในปัจจุบัน
Jeanne Peterson รักษาการผู้อำนวยการของ NIAP กล่าวว่าองค์กรจะยังคงพึ่งพาชุมชนที่เป็นตัวแทนของรัฐบาล ผู้ขาย สถาบันการศึกษา และพันธมิตรระหว่างประเทศเพื่อพัฒนามาตรฐานขององค์กร
“เราได้ร่วมกันกำหนดสิ่งที่เราพิจารณาว่าเป็นข้อกำหนดด้านความปลอดภัยพื้นฐาน และจากจุดนั้น เราใส่เป็นภาษา Common Criteria หรือเก็บไว้เป็นภาษาอังกฤษ ขึ้นอยู่กับแอปพลิเคชันที่จะใช้” เธอกล่าว “ข้อดีของสิ่งนี้คือการทำงานร่วมกัน เราได้ใช้ประโยชน์จากพลังของทุกคนร่วมกัน เรามีกลุ่มผู้เชี่ยวชาญสำหรับเทคโนโลยีนี้โดยเฉพาะ เป็นชุมชนที่กระตือรือร้นที่ยืนหยัดและทำงานต่อไปตลอดการพัฒนาข้อกำหนดและหลังจากนั้น ดังนั้น เมื่อการเปลี่ยนแปลงของอุตสาหกรรมและเทคโนโลยีเปลี่ยนไป เราจึงรักษาข้อกำหนดหรือมาตรฐานของเราให้เป็นปัจจุบัน เพราะเรากำลังโต้ตอบกับกลุ่มนี้เป็นประจำ”
Peterson กล่าวว่าโปรไฟล์การตรวจสอบแอพมือถือเป็นตัวอย่างของมาตรฐานที่เขียนเป็นภาษาอังกฤษโดยความร่วมมือกับ National Institute of Standards and Technology เธอบอกว่าเป็นการนำร่องเพื่อดูว่าการเขียนสิ่งที่ผู้คนสามารถเข้าใจได้จะได้ผลหรือไม่ และได้ผล
NIAP ทำงานอย่างใกล้ชิดกับ NIST ในช่วงไม่กี่ปีที่ผ่านมา โดยรวมสิ่งพิมพ์พิเศษ 800-163 ไว้ในโปรไฟล์การป้องกันการย้ายสภาซีไอโอไปยัง NIAP เกิดขึ้นหลังจากการเปลี่ยนแปลงครั้งสำคัญโดยกระทรวงกลาโหม ในเดือนพฤศจิกายน หน่วยงานระบบข้อมูลกลาโหมกล่าวว่าจะไม่สนับสนุน Security Requirements Guide อีกต่อไป และจะขึ้นอยู่กับ NIAP สำหรับผลิตภัณฑ์และแอพมือถือเพียงอย่างเดียว
นี่เป็นครั้งที่สองที่ทีม Mobile Technology Tiger เข้าร่วมในหัวข้อความปลอดภัยทางไซเบอร์ยุทธศาสตร์รัฐบาลดิจิทัลของสำนักงานบริหารและงบประมาณเรียกร้องให้สภาซีไอโอจัดตั้งคณะทำงานในปี 2555 เพื่อแก้ไขปัญหาความปลอดภัยของมือถือ มันช่วยสร้างพื้นฐานการรักษาความปลอดภัยเริ่มต้นที่เปิดตัวในเดือนพฤษภาคม 2013 แต่พื้นฐานมุ่งเน้นไปที่อุปกรณ์มากกว่าแอพ และในไม่ช้าหน่วยงานต่างๆ ก็เริ่มพัฒนาวิธีการที่แตกต่างกันในการตรวจสอบแอปพลิเคชัน
วิธีการปัจจุบันที่หน่วยงานส่วนใหญ่ใช้ค่อนข้างแตกต่างกัน DHS พัฒนา Car Wash และ NISTเผยแพร่แนวทางการตรวจสอบแอพมือถือ
หน่วยงานอื่นๆ กำลังมองหา DHS หรือ NIST หรือแม้กระทั่งดำเนินการเองเพื่อสร้างกระบวนการที่แตกต่างออกไป
อมีแอพมากมายอยู่ที่นั่น มากเกินกว่าที่เอเจนซี่รายใดจะรับมือได้ และมันก็พัฒนาอย่างต่อเนื่อง เราต้องมีโครงสร้างที่รวดเร็วและตอบสนองเพื่อจัดการกับสิ่งนั้น” เขากล่าว “ไม่ใช่แต่ละคน เราจะดำเนินการอย่างไรหลังจากตรวจสอบแอปหลายล้านรายการที่ผู้ปฏิบัติภารกิจของเราอาจต้องการใช้ นั่นเป็นงานที่หนักหนาสาหัสมาก และพวกเราไม่มีใครอยากจัดการทีละคน ดังนั้นเราจึงบอกว่าลองดูกัน หาก DHS