ในช่วงที่เกิดโรคระบาด หน่วยงานต่างๆ มักจะจัดการรักษาความปลอดภัยเครือข่ายสำหรับการเข้าถึงระยะไกล แต่การสุ่มตัวอย่างจากองค์กรหลายสิบแห่งพบว่าช่องโหว่ทางไซเบอร์บางส่วนถูกมองข้ามไปรายงานล่าสุดของ Government Accountability Office กล่าวว่าความต้องการที่ใหญ่ที่สุดในการปรับปรุงคือการประเมินการควบคุมและการปรับปรุงความปลอดภัยด้านไอทีที่เกี่ยวข้องทั้งหมด และจัดทำเอกสารการดำเนินการแก้ไขอย่างครบถ้วนตามความจำเป็น หน่วยงานต่างๆ
ทำเอกสารได้ดีขึ้นทั้งนโยบายการรักษาความปลอดภัยทางไกล
ตลอดจนการควบคุมและปรับปรุงความปลอดภัยด้านไอทีที่เกี่ยวข้องภายในเอกสารของหน่วยงาน GAO ค้นหาแผนการรักษาความปลอดภัยของระบบ ผลการประเมินการควบคุมความปลอดภัย แผนปฏิบัติการแก้ไข และหน่วยงานต่างๆ ปฏิบัติตามคำแนะนำด้านความปลอดภัยในโลกไซเบอร์จาก National Institute of Standards and Technology หรือไม่ โดยเฉพาะ SP 800-53 จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
“หากหน่วยงานจัดทำเอกสารการควบคุมความปลอดภัยที่เกี่ยวข้องไม่เพียงพอ ประเมินการควบคุม และจัดทำเอกสารการดำเนินการแก้ไขอย่างครบถ้วนสำหรับจุดอ่อนที่ระบุในการควบคุมความปลอดภัย พวกเขามีความเสี่ยงเพิ่มขึ้นที่ช่องโหว่ในระบบของพวกเขา View GAO ที่ให้การเข้าถึงระยะไกลอาจถูกโจมตี” GAO เขียน .
หนึ่งเดือนก่อนการออกรายงาน Jennifer Franks
ผู้อำนวยการฝ่ายเทคโนโลยีสารสนเทศและความปลอดภัยทางไซเบอร์ของ GAO กล่าวว่าหน่วยงานจะขยายการตรวจสอบเพื่อรับการผลักดันล่าสุดเพื่อปรับปรุงความเสี่ยงด้านซัพพลายเชน โดยอ้างถึงเหตุการณ์ SolarWinds และช่องโหว่ของ Microsoft Exchange เป็นตัวอย่าง
GAO ศึกษาการดำเนินการที่ดำเนินการโดยหน่วยงาน 12 แห่ง และท้ายที่สุดเสนอคำแนะนำแก่หกหน่วยงาน ได้แก่ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ สำนักงานประกันสังคม เอฟบีไอ สำนักงานบริหารงานบุคคล และหน่วยงานด้านการขนส่งและความมั่นคงแห่งมาตุภูมิ หน่วยงานที่ศึกษารายงานทั้งหมดสนับสนุนหน้าที่ที่จำเป็นระดับชาติที่ต้องดำเนินการต่อไปในช่วงเกิดเหตุฉุกเฉิน มีพนักงานอย่างน้อย 1,000 คน และอย่างน้อย 20% ของพนักงานทั้งหมดมีสิทธิ์ทำงานทางไกลได้
เพื่อให้พนักงานเชื่อมต่อกัน เอเจนซี่ทั้งหมดใช้เครือข่ายส่วนตัวเสมือน ในขณะที่เจ็ดคนใช้การเข้าถึงแอปพลิเคชันโดยตรง หน่วยงาน 5 แห่งใช้พอร์ทัลแอปพลิเคชัน และมีเพียงแห่งเดียวที่ให้การเข้าถึงเดสก์ท็อประยะไกลแก่พนักงานทางไกล ครึ่งหนึ่งอนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัว และทั้งหมดอนุญาตให้พนักงานใช้โทเค็นที่ปลอดภัย ตามรายงาน หน่วยงานส่วนใหญ่รายงานว่ากำลังแก้ไขปัญหาเรื่องเวลาหมดอายุสั้น ๆ ของโทเค็นเหล่านี้ด้วยการสร้างข้อมูลรับรองชั่วคราวที่มากขึ้น
ก.ล.ต. SSA และการขนส่งต่างได้รับคำแนะนำดังต่อไปนี้:
บันทึกการควบคุมความปลอดภัยด้านไอทีที่เกี่ยวข้องและการปรับปรุงในแผนการรักษาความปลอดภัยสำหรับระบบที่ให้การเข้าถึงระยะไกลสำหรับการทำงานระยะไกล
ประเมินการควบคุมและการปรับปรุงความปลอดภัยด้านไอทีที่เกี่ยวข้องทั้งหมดสำหรับระบบที่ให้การเข้าถึงระยะไกลสำหรับการทำงานระยะไกล
ประเมินและจัดทำเอกสารการประเมินการควบคุมความปลอดภัยด้านไอทีที่เกี่ยวข้องและการปรับปรุงอย่างเพียงพอสำหรับระบบที่ให้การเข้าถึงระยะไกลสำหรับการทำงานระยะไกล และ
ติดตามความคืบหน้าอย่างต่อเนื่องเพื่อดำเนินการแก้ไขให้เสร็จสิ้นโดยระบุวันที่เสร็จสิ้นโดยประมาณในแผนปฏิบัติการและเหตุการณ์สำคัญสำหรับระบบที่ให้การเข้าถึงระยะไกลสำหรับการทำงานระยะไกล
“ตัวอย่างเช่น ณ เดือนพฤษภาคม 2021 [SSA] ไม่ได้บันทึกการควบคุมและการปรับปรุงที่เกี่ยวข้องประมาณครึ่งหนึ่งในแผน เจ้าหน้าที่รักษาความปลอดภัยด้านไอทีของ SSA บอกเราว่าหน่วยงานกำลังจัดระเบียบองค์ประกอบใหม่ซึ่งประกอบกันเป็นระบบที่ให้การเข้าถึงระยะไกลแก่พนักงานของหน่วยงาน และเนื่องจากการปรับโครงสร้างองค์กร พวกเขาไม่ได้ปรับปรุงแผนการรักษาความปลอดภัยของระบบตั้งแต่ปี 2559” GAO เขียน “SSA ยืนยันว่ามีการควบคุมและปรับปรุงแล้ว
มันเตือน SSA และ SEC ว่าจนกว่าหน่วยงานเหล่านั้นจะจัดทำเอกสารเกี่ยวกับการควบคุมความปลอดภัยทางไซเบอร์ของเครือข่ายอย่างสม่ำเสมอ เจ้าหน้าที่ก็จะไม่มีข้อมูลที่พวกเขาต้องการเพื่อทำการ “ตัดสินใจบนพื้นฐานความเสี่ยงที่น่าเชื่อถือเกี่ยวกับระบบข้อมูลของพวกเขา”