به گزارش سایبربان؛ امنیت سایبری دولت فدرال از سال ۱۹۹۷ در فهرست خطرات سطح بالای اداره پاسخگویی دولت آمریکا قرار گرفته است.
بر اساس گزارش ارزیابی که در ۱۹ مه توسط دفتر پاسخگویی دولت آمریکا موسوم به (GAO) منتشر شد، سیستمهای فناوری اطلاعات وزارت دفاع این کشور تا ژانویه ۲۰۲۲ در هیچیک از چهار حوزه اصلی الزامات امنیت سایبری برای سیستمهای اطلاعاتی طبقهبندی نشده کنترلشده مطابقت نداشتند.
اطلاعات طبقهبندینشده کنترلشده یا (CUI) نسبت به اطلاعات محرمانه یا فوق محرمانه یک سطح پایینتر هستند، اما همچنان حاوی دادههایی مانند اطلاعات شخصی یا اقدامات تجاری هستند که در صورت افشای عمومی میتواند مضر باشد. وزارت دفاع آمریکا اجرای کامل الزامات امنیت سایبری را برای زیرمجموعههای خود الزامی کرده است، اما درصد پیادهسازی این الزامات بهطورکلی از ۷۰٪ تا ۹۰٪ متغیر است. این وزارتخانه تقریباً ۲۹۰۰ سیستم حاوی اطلاعات طبقهبندینشده کنترلشده را در سراسر سازمان خود اداره میکند.
در این ارزیابی آمده:ما دادههای وزارت دفاع را تجزیهوتحلیل کردیم و متوجه شدیم گرچه تمام زیرمجموعههای وزارت دفاع اقداماتی را برای اجرای الزامات امنیت سایبری برای سیستمهای دارای اطلاعات طبقهبندینشده کنترلشده انجام دادهاند، اما هیچیک از زیرمجموعههای این سازمان بهطور کامل با الزامات امنیت سایبری مطابقت ندارند. وزارت دفاع آمریکا به انطباق ۱۰۰٪ نیاز دارد.
دفتر پاسخگویی دولت آمریکا در این ارزیابی روند پیادهسازی الزامات امنیت سایبری در چهار حوزه موردنیاز برای سیستمهای حاوی اطلاعات طبقهبندینشده کنترلشده در وزارت دفاع آمریکا را بررسی کرد که جزئیات آن به شرح ذیل است:
اجرای برنامه صدور گواهینامه مدل تکامل امنیت سایبری وزارت دفاع آمریکا که در سال ۲۰۲۰ راهاندازی شد، بین ۷۰ تا ۷۹ درصد بود.
دستهبندی دقیق سیستمهای حاوی اطلاعات طبقهبندینشده کنترلشده بین ۸۰ تا ۸۹ درصد بود.
اجرای ۲۶۶ اقدام کنترلی برای سیستمهای محرمانه متوسط از ۸۰ تا ۸۹ درصد بود.
و درنهایت مجوز دادن به سیستمها برای کار در شبکههای وزارت دفاع از ۹۰ درصد به بالا بود.
بازرسان در انتها خاطرنشان کردند که دفتر افسر ارشد اطلاعات وزارت دفاع آمریکا، مقام مسئول امنیت سایبری تمام سیستمهای حاوی اطلاعات طبقهبندینشده کنترلشده در پنتاگون، برای رسیدگی به این حوزهها اقداماتی انجام داده است. برای مثال این دفتر در اکتبر ۲۰۲۱، یادداشتی صادر کرد که در آن مجدداً الزاماتی را که سیستمهای حاوی اطلاعات طبقهبندینشده کنترلشده باید برآورده کنند، منتشر کرد و شامل الزامات جدیدی در مورد کنترلهای امنیتی زنجیره تأمین بود. دفتر مذکور همچنین یک یادداشت پیگیری در مارس ۲۰۲۲ صادر کرد و به مقامات یادآوری کرد که این کنترلها را اجرا کنند.