การรักษาความปลอดภัยสมาร์ทโฟนและแท็บเล็ตนั้นพูดได้ง่ายกว่าที่ทำกับหน่วยงานส่วนใหญ่ ผู้เชี่ยวชาญด้านความปลอดภัยของรัฐบาลกลางยังคงพยายามค้นหาความสมดุลที่เหมาะสมระหว่างการเข้าถึงผ่านมือถือและความปลอดภัยของข้อมูลและแอปพลิเคชันอย่างไรก็ตาม กระทรวงกลาโหมอาจมีคำตอบสำหรับความท้าทายหลายประการเหล่านี้Richard Hale รองประธานเจ้าหน้าที่ฝ่ายข้อมูลด้านความปลอดภัยทางไซเบอร์ของ DoD กล่าวว่ากองทัพอาจฝ่าอุปสรรคที่ยาวนานเพื่อตอบสนองความต้องการของผู้ใช้สำหรับอุปกรณ์พกพาและข้อกำหนดของ DoD
สำหรับความปลอดภัยทางไซเบอร์
เขากล่าวว่าวิธีการใหม่นี้จะยังคงขึ้นอยู่กับ Common Access Card (CAC) แต่ด้วยวิธีที่ต่างออกไป
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
“เราจะใส่ข้อมูลรับรอง [โครงสร้างพื้นฐานคีย์สาธารณะ] ลงในอุปกรณ์เคลื่อนที่โดยตรง เราจะไม่มีเครื่องอ่านการ์ด CAC แยกต่างหากหรืออะไรทำนองนั้น” เฮลกล่าวเมื่อวันพฤหัสบดีหลังจากที่เขาดูแลการอภิปรายที่ AFCEA Washington, DC chapter’s Cybersecurity Summit ในวอชิงตัน “เรามีนักบินสามคนที่แสดงให้เห็นว่าสามารถทำได้ด้วยวิธีที่ปลอดภัย มีปัญหาด้านความปลอดภัยบางอย่างที่ยังคงอยู่ในธุรกิจการรับข้อมูลประจำตัวเหล่านั้นไปยังอุปกรณ์ที่เรายังคงดำเนินการอยู่ ดังนั้นเราจึงยังไม่มีโปรแกรมที่เป็นทางการในการวางโครงสร้างพื้นฐานการออก แต่ฉันเชื่อว่าในอีกไม่กี่เดือนข้างหน้า เราจะตัดสินใจว่าเรามีเส้นทางเฉพาะในการออกหนังสือรับรอง จากนั้นเราจะวางโปรแกรมและเริ่มดำเนินการ
Hale กล่าวว่า DoD กำลังมองหาผู้จำหน่ายมือถือรายใหญ่ทั้งหมด รวมถึง Apple IOS, Android, Microsoft และ BlackBerry
“เราอาจเปิดตัวเป็นระยะๆ เนื่องจากมีความแตกต่างในเทคโนโลยี
ดังนั้นเราจะต้องทำวิศวกรรมสำหรับแต่ละอย่าง” เขากล่าว “หน่วยงานระบบข้อมูลกลาโหมและสำนักงานความมั่นคงแห่งชาติกำลังทำงานร่วมกับภาคอุตสาหกรรมเพื่อหาวิธีการย้ายข้อมูลรับรองเหล่านี้หรือใส่ข้อมูลรับรองใหม่ที่ได้จากข้อมูลประจำตัวของการ์ด CAC ลงในอุปกรณ์พกพาเหล่านี้อย่างปลอดภัย ย้ำอีกครั้งว่าแต่ละเทคโนโลยีใช้วิธีการที่แตกต่างกัน ดังนั้นจึงมีวิศวกรรมบูรณาการเกิดขึ้น”
นานๆมาทีDoD ได้ดำเนินการแก้ไขปัญหานี้มาเป็นเวลากว่า 18 เดือนแล้ว และอาจเป็นเวลาเกือบสองปีก่อนที่พวกเขาจะตัดสินใจขั้นสุดท้ายเกี่ยวกับแนวทางการใช้ข้อมูลประจำตัวที่ได้รับ
เพนตากอนเปิดตัว นักบิน ชุดแรกในเดือนพฤศจิกายน 2556
แต่สิ่งที่แตกต่างออกไปในตอนนี้คือความมั่นใจของ Hale ว่าข้อมูลประจำตัวที่ได้รับ ซึ่งหมายความว่าโทรศัพท์มีซอฟต์แวร์หนึ่งชิ้นเพื่อรับรองความถูกต้องของผู้ใช้ในเครือข่ายนั้นดีเพียงพอสำหรับการใช้งานอย่างแพร่หลายทั่วทั้ง DoD
Hale กล่าวว่า DoD ได้พิจารณาแนวทางที่แตกต่างกัน 7 หรือ 8 วิธีในการรักษาความปลอดภัยบนมือถือ และการใช้ข้อมูลประจำตัวที่ได้รับดูเหมือนจะเป็นวิธีที่ดีที่สุดนี่ไม่ใช่ครั้งแรกที่ DoD พยายามหาวิธีรวมการ์ด CAC เข้ากับอุปกรณ์พกพา
แต่ครั้งแล้วครั้งเล่า เทคโนโลยีและกระบวนการขัดขวาง DoD ในช่วงหลายปีที่ผ่านมา
“การมีสเลดแยกจากอุปกรณ์เคลื่อนที่มักเป็นปัญหาในแง่ที่ว่าเมื่อฉันใช้อุปกรณ์เหล่านี้ แบตเตอรี่จะหมดเมื่อฉันต้องการ หรือมีปัญหาในการจับคู่อุปกรณ์ จุดที่ฉันต้องการ ดังนั้นผู้คนจึงต่อสู้กับสิ่งนั้น” เฮลกล่าว “เราไม่มีวิธีที่ดีในการใส่รหัสส่วนตัวในข้อมูลรับรองการเข้ารหัสนี้ลงในอุปกรณ์พกพาและปกป้องรหัสส่วนตัวนั้นอย่างแน่นหนา เราเชื่อว่าผู้จำหน่ายเทคโนโลยีกำลังแก้ปัญหานี้อยู่ และพวกเขามีวิธีที่แข็งแกร่งกว่าในการปกป้องคีย์ส่วนตัวนั้นมากกว่าที่เคยมีมา และเราเชื่อว่าจุดแข็งมีอยู่ในขณะนี้สำหรับการใช้งานทั่วไปของแนวทางข้อมูลประจำตัวที่ได้รับนี้”
ในเวลาเดียวกัน DoD กำลังนำร่องแนวคิดนี้ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติยังได้ทำงานเกี่ยวกับมาตรฐานและแนวทางการใช้ข้อมูลประจำตัวที่ได้รับ
