การรักษาความปลอดภัยทางไซเบอร์ยังขาดแคลนที่ Federal Retirement Thrift Investment Board ซึ่งอาจนำไปสู่การที่แฮ็กเกอร์ขโมยข้อมูลส่วนบุคคลและถอนเงินออกจากบัญชี Thrift Savings Plan ในท้ายที่สุด เอียน ดิงเวลล์ หัวหน้าฝ่ายบัญชีของแผนกบริหารความปลอดภัยสวัสดิการพนักงานของกระทรวงแรงงาน บอกกับ FRTIB ว่าแนวทางการเพิ่มการควบคุมระบบที่แนะนำนั้นยังไม่รุนแรงเพียงพอ
แต่นั่นไม่ใช่เรื่องราวทั้งหมด Kim Weaver ผู้อำนวยการฝ่ายกิจการภายนอก
ของ FRTIB กล่าว ขึ้นอยู่กับว่าผู้ตรวจสอบรายใดในสองรายที่คุณให้ความสนใจมากที่สุดในระหว่างการประชุมประจำเดือน: ผู้ตรวจสอบที่มีข้อบกพร่องทั้งหมด หรือผู้ซึ่งอธิบายว่า FRTIB มาไกลแค่ไหนในเวลาอันสั้น และสิ่งที่ยังคงวางแผนที่จะทำ
“เราจะทำมัน มันเป็นเรื่องของเวลา” เธอกล่าวในIn Depth with Francis Roseเมื่อวันพุธ ความล่าช้าเกิดจาก EBSA เอง “สิ่งที่พวกเขาต้องการทำเรียกว่า ‘การทดสอบการเจาะระบบ’ ซึ่งคุณพยายามดูว่าคุณสามารถเจาะระบบได้หรือไม่”
ข้อมูลเชิงลึกโดย LaunchDarkly: เรียนรู้ว่า Coast Guard, NSF และ USAID ไม่เพียงแต่ปรับปรุงสภาพแวดล้อมขององค์กรเท่านั้น แต่ยังดำเนินการดังกล่าวด้วยวิธีที่สนับสนุนพนักงานของตนในการให้บริการได้ดีที่สุด ในขณะเดียวกันก็รักษาข้อมูลของรัฐบาลกลางให้ปลอดภัยด้วย
Weaver อธิบายว่ามีการทดสอบการเจาะทะลุสองประเภท ประการแรก มีคนเลียนแบบการโจมตีที่มาจากภายนอกระบบ โดยเลียนแบบกลยุทธ์ที่แฮ็กเกอร์สุ่มใช้ซึ่งทำงานจากห้องใต้ดินของพวกเขาเอง Weaver กล่าวว่าคณะกรรมการไม่มีปัญหาในการปล่อยให้ EBSA ทำเช่นนั้นได้ทุกเมื่อที่ต้องการ
เป็นประเภทอื่นที่ทำให้เกิดความล่าช้า เรียกว่า
“การทดสอบการเจาะข้อมูลรับรอง” เป็นการจำลองความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามภายใน ผู้ทดสอบมีข้อมูลประจำตัวทั้งหมดที่จำเป็นในการเข้าถึงระบบและสามารถเคลื่อนที่ได้อย่างอิสระไปรอบๆ เครือข่ายเพื่อสอดส่องเข้าไปในซอกหลืบต่างๆ
“สิ่งที่จำเป็นเมื่อคุณทำการทดสอบการเจาะคือกฎพื้นฐาน” Weaver กล่าว “ดังนั้นทั้งสองฝ่ายจึงเข้าใจว่าเครื่องมือใดที่จะนำไปใช้ สิ่งที่กำลังจะสำเร็จ และที่สำคัญสำหรับผู้เข้าร่วมของเรา อะไรคือปัญหาด้านความปลอดภัยและความรับผิดของสิ่งนั้น”
กล่าวอีกนัยหนึ่ง FRTIB ให้ความสำคัญกับการพัฒนาความปลอดภัยของภัยคุกคามจากวงในอย่างจริงจัง โดยได้วางเครื่องทดสอบความปลอดภัยทางไซเบอร์ของตัวเองผ่านเสียงกริ่ง
“ในการทดสอบวงในแบบนี้ สิ่งที่พวกเขาเสนอให้ทำคือเข้าสู่บัญชีจริง” Weaver กล่าว “ดังนั้นพวกเขาจึงสามารถเข้าสู่บัญชีของฉันและอาจย้ายยอดเงินในบัญชีของฉันจาก 1,000 ดอลลาร์เป็น 500,000 ดอลลาร์ แม้ว่ามันจะดีถ้ามันขึ้น แต่มันก็ไม่ดีถ้ามันลงไป”
เธอกล่าวว่ากระบวนการตั้งกฎพื้นฐานสำหรับการทดสอบจะใช้เวลาไม่กี่สัปดาห์ ไม่ใช่เป็นเดือนหรือเป็นปี เมื่อกระบวนการนั้นไม่อยู่ในแนวทาง FRTIB มีอิสระที่จะใช้การควบคุมที่จำเป็น
“ในช่วงสองปีที่ผ่านมา เราปิดการค้นพบการตรวจสอบแบบเปิดของเราได้ประมาณ 50 เปอร์เซ็นต์” Weaver กล่าว “มันไม่เหมือนกับการที่เรานั่งเฉยๆ และรอให้ใครสักคนมาบอกเราว่า ‘มีอะไรดีๆ ให้ทำ!’ เราย้ายออกอย่างชาญฉลาดและเราจริงจังกับเรื่องนี้มาก … มันเป็นเรื่องของผู้ตรวจสอบบัญชีสองคนจริงๆ ถ้าฉันสามารถแต่งกลอนได้”
