بينما يستعد الكونجرس للعودة إلى واشنطن في الأسابيع القادمة ، سيكون الانتهاء من قانون تفويض الدفاع الوطني للسنة المالية 2021 (NDAA) أولوية قصوى. يتميز مشروع قانون الدفاع الضخم بالعديد من أحكام الأمن السيبراني المهمة ، من تعزيز CISA وتعزيز قابلية التشغيل البيني لإنشاء منصب مدير Cyber National في البيت الأبيض وتقنين FedRAMP.
هذه هي المكونات الحيوية للتشريعات التي يجب على المؤتمر العمل معًا لتضمينها في النسخة النهائية لمشروع القانون ، بما في ذلك:
المحتويات
تعزيز CISA
كانت إحدى التوصيات الرئيسية الواردة في تقرير لجنة الفضاء الإلكتروني للاستلقاء تحت أشعة الشمس هذا الربيع هي تعزيز CISA ، وهي وكالة قطعت أشواطا كبيرة في حماية بلدنا من الهجمات الإلكترونية. إن تعديل إصدار مجلس النواب من NDAA سيفعل ذلك تمامًا ، من خلال منح سلطة إضافية لـ CISA التي تحتاجها للبحث بشكل فعال عن التهديدات ونقاط الضعف على الشبكة الفيدرالية.
الجهات الفاعلة السيئة والمنظمات الإجرامية وحتى الدول القومية تتطلع باستمرار لشن هجمات انتهازية. إن إعطاء أدوات وموارد وتمويل CISA الإضافية اللازمة لتأمين البنية التحتية الرقمية للأمة وتأمين استخباراتنا ومعلوماتنا أمر لا يحتاج إلى تفكير ويجب على الكونغرس ضمان حصول الوكالة على الموارد التي تحتاجها في النسخة النهائية من NDAA.
تعزيز قابلية التشغيل البيني
ربما الآن أكثر من أي وقت مضى ، تعد إمكانية التشغيل البيني مفتاحًا لبرنامج أمان قوي. مع استمرار العمل عن بعد بين القوى العاملة الفيدرالية وتوسعها ، فإن مجموعة متنوعة متزايدة من أدوات الاتصال والأجهزة والشبكات تعرض الشبكات الفيدرالية للخطر. توفر أدوات الأمان التي تعمل معًا وقابلة للتشغيل البيني بشكل أفضل نطاقًا كاملاً من الحماية عبر هذه البيئات.
يتضمن إصدار مجلس النواب من NDAA عدة أحكام لتعزيز إمكانية التشغيل البيني داخل الحرس الوطني والجيش وعبر الحكومة الفيدرالية. يتضمن NDAA التابع لمجلس الشيوخ أيضًا لغة تتطلب لوائح وزارة الدفاع الحرفية لتسهيل وصول وزارة الدفاع إلى النظام والنظام الفرعي الرئيسي والواجهات المعرفة بالبرمجيات المكونة الرئيسية واستخدامها لتعزيز جهود وزارة الدفاع لإنشاء سلاسل قتل متنوعة وفعالة. تنطبق اللوائح والتوجيهات أيضًا على أنظمة البرمجيات البحتة ، بما في ذلك أنظمة الأعمال وأنظمة الأمن السيبراني. ستتطلب هذه اللوائح أيضًا خطط اقتناء وطلبات لدمج تفويضات لتسليم النظام ، والنظام الفرعي الرئيسي ، والواجهات البينية المحددة ببرمجيات المكون الرئيسي.
لفترة طويلة جدًا ، استفادت الوكالات من مجموعة أدوات يخدم كل منها غرضًا محددًا ، لكنها لم تقدم تغطية واسعة وفعالة. يتمتع الكونجرس بفرصة قيمة لتغيير ذلك وتشجيع المزيد من الحلول القابلة للتشغيل البيني التي توفر الأمن المطلوب في مشهد التهديدات المتطور باستمرار اليوم.
إنشاء منصب مدير Cyber وطني
ستنشئ نسخة مجلس النواب من NDAA مديرًا إلكترونيًا وطنيًا معتمدًا من مجلس الشيوخ داخل البيت الأبيض ، يكون مسؤولاً عن الإشراف على العمليات الرقمية عبر الحكومة الفيدرالية. هذا الدور ، وهو توصية من Cyberspace Solarium Commission ، من شأنه أن يمنح الحكومة الفيدرالية شخصًا واحدًا لكل الأشياء السيبرانية.
كما جادل النائب السابق مايك رودجرز في مقال رأي نُشر في The Hill الشهر الماضي ، “التحدي السيبراني الذي نواجهه كدولة مروع ومعقد”. نواجه تهديدات جديدة كل يوم. يُعد تنسيق الإستراتيجية الإلكترونية عبر الحكومة الفيدرالية ، بدلاً من نهج الوكالة بحسب الوكالة الذي نتبعه اليوم ، أمرًا بالغ الأهمية لضمان مواكبة التهديدات وحماية البنية التحتية الحيوية للدولة والملكية الفكرية والبيانات بشكل فعال من أي هجوم.
تقنين FedRAMP
قانون تفويض FedRAMP ، المتضمن في إصدار مجلس النواب من NDAA ، من شأنه تقنين برنامج FedRAMP وإعطائه مكانة رسمية لمراجعة الكونغرس ، وهي خطوة حاسمة نحو جعل البرنامج أكثر كفاءة وفائدة للوكالات عبر الحكومة. سيؤدي توفير المزيد من الإشراف لهذا البرنامج إلى التحقق من صحة المنتجات المعتمدة من FedRAMP من جميع أنحاء الصناعة باعتبارها آمنة ومأمونة للاستخدام الفيدرالي. يتضمن مشروع قانون تفويض FedRAMP أيضًا لغة من شأنها أن تساعد في تركيز انتباه الإدارة على الحاجة إلى تأمين المساحات الضعيفة بين الخدمات والتطبيقات السحابية. تحتاج الوكالات إلى التركيز على تأمين نقاط الضعف هذه بين السحاب وفيما بينها لأن المتسللين المتطورين يستهدفون هذه اللحامات التي غالبًا ما تُترك دون حماية.
بالإضافة إلى ذلك ، التزم البنتاغون بالفعل بالمعاملة بالمثل لبرنامج FedRAMP. يعمل FedRAMP – ومن شأن تقنينه لإدخال بقية الحكومة الفيدرالية في البرنامج أن يوفر فرصة ممتازة لاعتماد السحابة على نطاق واسع ، وهو أمر ستستفيد منه الحكومة الفيدرالية كثيرًا.
نأمل أن ينظر المشاركون في NDAA في هذه الأحكام الإلكترونية المهمة ويدرجونها في النسخة النهائية من مشروع القانون ونتطلع إلى مواصلة عملنا مع الشركاء الحكوميين بشأن القضايا الإلكترونية المهمة مثل هذه.