Office of Management and Budget (OMB) หน่วยงานในทำเนียบขาว (เทียบได้กับสำนักงบประมาณของประเทศไทย แต่มีส่วนของการตรวจสอบกระบวนการภาครัฐนอกจากทำงบประมาณด้วย) ออกบันทึกเตือนเรื่องแนวทางรักษาความปลอดภัยไซเบอร์ให้กับหน่วยงานรัฐบาลกลางสหรัฐ (federal agencies)

ประเด็นหลักของบันทึกนี้คือหน่วยงานภาครัฐควรใช้สถาปัตยกรรมความปลอดภัยแบบ zero trust architecture (ZTA) หรือไม่เชื่อมั่นในสิ่งใดเลย ทุกอย่างในระบบไม่ว่าจะเป็นผู้ใช้หรือเครือข่ายต้องถูกยืนยันใหม่เสมอ (we must verify anything and everything)

ในทางปฏิบัติแล้ว OMB ขอให้หน่วยงานภาครัฐต้องใช้บัญชีที่ถูกจัดการจากส่วนกลาง (enterprise-managed accounts), อุปกรณ์ที่พนักงานใช้ต้องถูกมอนิเตอร์และจำกัดสิทธิ, ระบบคอมพิวเตอร์ของหน่วยงานแต่ละหน่วยต้องแยกจากหน่วยอื่น ทราฟฟิกระหว่างกันต้องถูกเข้ารหัส, แอพพลิเคชันที่ใช้ต้องถูกทดสอบอย่างสม่ำเสมอ

สิ่งที่น่าสนใจคือ OMB ระบุว่าจำเป็นต้องยืนยันตัวตนแบบหลายปัจจัย (multi-factor authentication หรือ MFA) ถือเป็นการป้องกันขั้นพื้นฐานจาก phishing ซึ่ง OMB ชี้ชัดว่าต้องเป็นการยืนยันตัวตนที่ปลอดภัยอย่างการใช้ฮาร์ดแวร์ (บัตรประจำตัวพนักงานหรือคีย์ FIDO2) และเลิกใช้วิธีที่ไม่ปลอดภัย เช่น SMS, การโทรด้วยเสียง, การใช้โค้ดแบบครั้งเดียว หรือการแจ้งเตือนผ่าน push notification ซึ่งอาจถูก phishing ได้

หน่วยงานภาครัฐมีเวลา 60 วันเพื่อพัฒนาแผนความปลอดภัยไซเบอร์ของตัวเอง แล้วส่งกลับมาให้ OMB ตรวจสอบ

ที่มา - Whitehouse.gov (PDF), Whitehouse.gov