สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ซึ่งได้รับมอบหมายจากทำเนียบขาวให้พัฒนากรอบความปลอดภัยในห่วงโซ่อุปทานที่ใช้กับภาคส่วนเทคโนโลยีสารสนเทศและการสื่อสารในวงกว้าง ไม่ได้พยายามคิดค้นนวัตกรรมใหม่“เรารู้ว่ามีงานมากมายที่ได้ทำไปแล้ว และกำลังดำเนินการอยู่” Jon Boyens รองหัวหน้าแผนกความปลอดภัยคอมพิวเตอร์ของ NIST กล่าวระหว่างงานเสมือนจริงในวันนี้ “เราต้องการขยายงานนั้น หรือรวมเข้าด้วยกัน ทำให้สิ้นเปลืองมากขึ้น และหาช่องว่าง”
ความคิดริเริ่มที่นำโดย NIST ได้รับการประกาศหลังจากการประชุมด้านความปลอดภัย
ทางไซเบอร์ที่ทำเนียบขาวเมื่อวันที่ 25 สิงหาคม โดยมีบริษัทเทคโนโลยีรายใหญ่ บริษัทประกันไซเบอร์ และผู้นำด้านการศึกษาเข้าร่วม
“แนวทางนี้จะทำหน้าที่เป็นแนวทางสำหรับหน่วยงานภาครัฐและเอกชนในการสร้างเทคโนโลยีที่ปลอดภัยและประเมินความปลอดภัยของเทคโนโลยี รวมถึงซอฟต์แวร์โอเพ่นซอร์ส” ทำเนียบขาวประกาศในเวลานั้น Microsoft, Google, IBM, Travellers และ Coalition “มุ่งมั่นที่จะมีส่วนร่วม” ในการพัฒนากรอบดังกล่าว ทำเนียบขาวระบุ DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
Boyens กล่าวว่าเจ้าหน้าที่ของ NIST ได้สละเวลาของพวกเขาตั้งแต่การประชุมเดือนสิงหาคมเพื่อหารือเกี่ยวกับทิศทางในอุดมคติสำหรับโครงการและวิธีที่ดีที่สุดที่จะดึงดูดผู้มีส่วนได้ส่วนเสียทั่วทั้งระบบนิเวศเทคโนโลยีในวงกว้าง
“ในขณะที่เราตระหนักดีว่ามีงานจำนวนมากที่ยังคงดำเนินอยู่
เราต้องการให้แน่ใจว่าไม่ว่าเราจะทำอะไร ความคิดริเริ่มที่เราดำเนินการมีผลกระทบและสมควรได้รับทรัพยากรจากผู้เข้าร่วมทั้งภาครัฐและเอกชน” เขากล่าว
หน่วยงานกำลังสร้างผลงานโดยเฉพาะจากคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ในเดือนพฤษภาคม Boyens ยกย่องความคิดริเริ่มที่มุ่งเน้นไปที่การกระทำที่มุ่งสู่นักพัฒนาซอฟต์แวร์มากกว่าผู้ใช้ปลายทางเท่านั้น
Boyens กล่าวว่า “เราต้องการให้งานจำนวนมากเสร็จสิ้น และอาจพิจารณาขยายซอฟต์แวร์ที่ผ่านมาไปยังฮาร์ดแวร์และบริการ
ตั้งแต่คำสั่งผู้บริหารเดือนพฤษภาคม NIST ได้เผยแพร่ “มาตรฐานขั้นต่ำที่แนะนำ” สำหรับการทดสอบรหัสซอฟต์แวร์ หน่วยงานนี้ยังทำงานร่วมกับ Federal Trade Commission ในโครงการติดฉลากเพื่อช่วยให้ผู้บริโภคตัดสินความปลอดภัยของอุปกรณ์และซอฟต์แวร์ Internet of Things
โครงการห่วงโซ่อุปทานยังช่วยลดงานที่กำลังดำเนินอยู่ภายใต้กรอบความปลอดภัยทางไซเบอร์ที่กำลังพัฒนาของ NIST อีกด้วย Boyens กล่าว หน่วยงานยังได้ตีพิมพ์ฉบับร่างของสิ่งพิมพ์ใหม่ “แนวทางปฏิบัติด้านการจัดการความเสี่ยงด้านห่วงโซ่อุปทานทางไซเบอร์สำหรับระบบและองค์กร” ในเดือนเมษายน
NIST วางแผนที่จะเผยแพร่คำขอข้อมูลเพื่อรับคำติชมจากภายนอกเกี่ยวกับพารามิเตอร์ เป้าหมาย และหลักการที่เป็นไปได้สำหรับกรอบการทำงานใหม่ หน่วยงานจะตั้งค่าเว็บไซต์สาธารณะสำหรับโครงการ
Boyens กล่าวว่า “เราต้องการให้ผู้มีส่วนได้ส่วนเสียบอกเราว่าพวกเขาคิดว่าจุดใดที่ยิ่งใหญ่ที่สุดสำหรับเจ้าชู้หรือดวงจันทร์” Boyens กล่าวคำถามสำคัญข้อหนึ่งสำหรับ NIST คือวิธีจัดการกับข้อกังวลที่มีมาอย่างต่อเนื่องในอุตสาหกรรมเกี่ยวกับการแบ่งปันข้อมูลด้านความปลอดภัยของห่วงโซ่อุปทานที่ละเอียดอ่อนกับรัฐบาล หน่วยงานภาครัฐและเอกชนที่จัดตั้งขึ้นโดย Cybersecurity and Infrastructure Security Agency เพิ่งเปิดตัวข้อเสนอเพื่อบรรเทาข้อกังวลเหล่านั้นและปรับปรุงการแบ่งปันข้อมูลระหว่างรัฐบาลและอุตสาหกรรม
“หนึ่งในคำถามสำคัญของเราที่ฉันคิดว่าเราจะใส่ไว้ใน RFI คือทำอย่างไรจึงจะได้รับกลไกความไว้วางใจที่คล้ายกับสิ่งที่เรากำลังทำในโลกของซอฟต์แวร์: สิ่งประดิษฐ์ หลักฐานเพื่อให้ได้รับความไว้วางใจมากขึ้น เพื่อให้ได้ความมั่นใจมากขึ้นในห่วงโซ่อุปทาน โดยไม่ต้องเสียสละทรัพย์สินทางปัญญา” Boyens กล่าว
