پنتاگون در فضای سایبری اسیب پذیر است

بازرس کل وزارت دفاع آمریکا اعلام کرد آسیب‌پذیری‌های شناسایی شده در رویدادهای مختلف این وزارت خانه رفع نمی‌شوند.

بارزس کل پنتاگون به تازگی گزارش داده است، این وزارت خانه از زمان انتشار گزارش سال 2012 تاکنون تلاشی مداوم را برای رفع آسیب‌پذیری‌های شناخته شده انجام نداده است. بر همین اساس گروه‌های سایبری قرمز نتایج ارزیابی‌ها انجام‌گرفته را به سازمان‌ها گزارش نداده و به طور مؤثری در برای رفع یا کاهش آسیب‌پذیری‌های شناخته شده تلاش نکرده‌اند.

پنتاگون در فضای سایبری
پنتاگون در فضای سایبری


در گزارش مذکور آمده است، آسیب‌پذیری‌های شناخته شده در هر دوره از تمرینات نظامی، رزمایش‌ها، ارزیابی‌های عملیاتی و سازمانی که توسط گروه‌های قرمز شناسایی می‌شوند، در اکثر موارد رفع نمی‌گردند.

در متن گزارش آمده است:

حصول اطمینان از کاهش آسیب‌پذیری‌های اجزا وزارت دفاع برای دستیابی به نتایج بهتر یک مسئله حیاتی است. به علاوه ما متوجه شدیم که پنتاگون یک رویکرد یکپارچه و مشخص را به منظور پشتیبانی و اولویت‌بندی اقدامات گروه قرمز سایبری در اختیار ندارد؛ بلکه با رویکردهایی خاص کارمندان را آموزش داده و به توسعه ابزارهای برای این گروه می‌پردازد.

در سند یاد آمده است دلیل نداشتن رویکردی یکپارچه توسط پنتاگون این است که سازمانی را به انجام هماهنگی‌ها و اولویت‌بندی فعالیت‌ها گروه قرمز اختصاص نمی‌دهد. همچنین منابع موردنیاز هر تیم را مورد ارزیابی قرار نداده و نیازهای آموزشی آن‌ها را بر پایه اولویت‌های موجود مشخص نمی‌کند. در واقع به دلیل عدم وجود راه‌کارهای مؤثر برای آموزش نیروها، توسعه ابزارهای جدید برای گروه‌های قرمز و اولویت‌بندی‌ها، اعضای این گروه‌ها توانایی رسیدگی به درخواست‌های فعلی را ندارند؛ بنابراین با توجه به تقاضاهای روزافزون، به مسائل آینده نیز رسیدگی نخواهد شد.

بازرس کل وزارت دفاع آمریکا 7 توصیه را برای رفع چالش یاد شده و مسئولیت سازمانی آن مطرح کرده است:

گزارش‌های گروه قرمز را در رابطه با آسیب‌پذیری‌های سیستم مورد بررسی و ارزیابی قرار دهید و راهکاری سازمانی، هماهنگ و متناسب را برای رفع آن‌ها به وجود آورید.
از تهیه و پیاده‌سازی یک فرایند مبتنی بر ریسک به منظور ارزیابی تأثیر آسیب‌پذیری‌های شناسایی شده اطمینان حاصل شود و بودجه اختصاص‌یافته برای رفع آن‌ها اولویت‌بندی شود.
از اجرای فرایندها تهیه گزارش بر اساس یافته‌های گروه قرمز و ارائه آن‌ها به سازمان‌هایی که مسئولیتی انجام اقدامات اصلاحی را دارند اطمینان حاصل کنید.
فرایندی را برای نظارت روی فعالیت‌های گروه قرمز توسعه بدهید. این فرایندها شامل هماهنگ‌سازی و اولویت‌بندی مأموریت‌ها، به‌منظور حصول اطمینان از انجام اقدامات بر پایه اولویت‌ها می‌شود.
به منظور تعیین تعداد گروه‌های قرمز موردنیاز برای انجام مأموریت‌ها باید روی حداقل سطح کارمندان، ترکیب توانایی‌های آن‌ها برای پاسخ به نیازها فعلی و آینده، تحقیق و ارزیابی صورت گیرد.
بر اساس 3 قانون موجود برای گروه‌های قرمز استانداردهای آموزشی باید شناسایی و ارزیابی شوند.
شناسایی و توسعه ابزارهایی که برای انجام مأموریت‌ها توسط گروه‌های قرمز موردنیاز هستند.