Совет по оборонным инновациям США (DIB) рекомендовал Пентагону нанимать для работы из дома гражданских лиц, которые могут обрабатывать секретную информацию как способ привлечения людей, обладающих техническими знаниями.
DIB в своем отчете от 15 сентября предлагает «весьма ограниченное, временное и конкретное использование исключений для небольшого процента рабочей силы, чтобы гарантировать две вещи: во-первых, ключевые инновационные и технологические инициативы полностью укомплектованы персоналом, а во-вторых, чтобы большинство остаются военнослужащие с наибольшим потенциалом ».
Разыскиваемые лица« будут иметь технические степени и / или высокоспециализированные навыки в области цифровых технологий и инноваций, необходимые Министерству обороны США », которое подвергается цифровой трансформации.
Эти навыки включают разработку современного программного обеспечения, киберфизических систем, науки о данных и искусственного интеллекта / машинного обучения (AI / ML); быстрое развитие и внедрение возможностей, а также прикладные инновационные методологии, такие как дизайн-мышление и бережливый стартап, которые делают упор на критическое мышление, экспериментирование и итерацию.
По данным Gartner, эти системы «лежат в основе всех подключенных ИТ, операционных технологий (OT) и Интернета вещей (IoT), где соображения безопасности охватывают как кибернетический, так и физический мир, например, ресурсоемкие, критически важные инфраструктуры и среды клинического здравоохранения. . "
Содержание статьи
Модернизация Министерства обороны
Рекомендация DIB по вербовке гражданских лиц из дома направлена на содействие реализации стратегии цифровой модернизации Министерства обороны США (DoD) на период с 2019 по 2023 годы.
«Цифровые технологии и возможности, включая интеграцию программного обеспечения с унаследованными системами, преобразят все аспекты операций Министерства обороны США, от систем управления персоналом до систем вооружения», согласно DIB.
«Министерство обороны столкнулось с кризисом готовности к цифровым технологиям», — заявило DIB. «С каждым днем разрыв с частным сектором становится все больше, и мы видим, как конкуренты и потенциальные противники демонстрируют ускоренный прогресс. В отличие от этого, [DoD] еще не определил правильные показатели, чтобы начать оценку цифровых технологий. готовность или понимание пробелов в своей рабочей силе в области цифровых инноваций; существует институциональная слепота к нашему цифровому дефициту ».
Министерство обороны крайне нуждается в людях с техническими знаниями, которые опубликовали секретную стратегию искусственного интеллекта и создают Объединенный центр искусственного интеллекта (JAIC); публикация стратегической дорожной карты для разработки и внедрения ИИ; и создание Комиссии национальной безопасности по ИИ.
Стратегия Министерства обороны в области искусственного интеллекта направлена на определение подходящих вариантов использования искусственного интеллекта во всем отделе, быстрое пилотирование решений и масштабирование успехов на предприятии с помощью JAIC.
JAIC будет использовать ИИ для решения больших и сложных наборов проблем в нескольких службах, а затем предоставит этим службам доступ в реальном времени к библиотекам наборов данных и инструментов, которые будут постоянно обновляться и обновляться.
Тем временем Министерство обороны работает над созданием Joint Common Foundation, облачной основы для всего предприятия, которая «обеспечит среду разработки, тестирования и выполнения, а также средства для совместной работы, инструменты, повторно используемые активы и данные, которые обслуживают военные. необходимо создать, усовершенствовать, протестировать и ввести в действие ИИ ».
С этой целью Агентство оборонных информационных систем (DISA) в августе заключило четырехлетний контракт на 106 миллионов долларов США с компанией Deloitte Consulting, LLC, подразделением консалтинговой фирмы Deloitte с целью «спроектировать и создать среду разработки Joint Common Foundation Artificial Intelligence».
Министерство обороны пытается удержать обученный технический персонал
Между тем люди с высокотехнологичными навыками уходят из армии, потому что большая часть его кадровой политики и систем «была разработана для индустриальной эпохи», DIB отметил. «Многие наборы навыков в области цифровых инноваций не соответствуют существующим карьерным траекториям, поэтому военнослужащие с такими навыками часто остаются неопознанными и игнорируются в системах управления талантами Министерства обороны».
В 2017 году DIB рекомендовал Министерству обороны пересмотреть свою кадровую политику. и системы, направленные на обучение, развитие и удержание людей с необходимыми техническими знаниями и навыками, но изменения происходят медленно, поскольку они затрагивают несколько уровней закона, регулирования, политики и культуры.
«Нынешняя система — столь же эффективная, как и в прошлом — просто не позволит нам оптимизировать потенциал нашей рабочей силы в будущем», — сказал тогдашний министр армии Марк Эспер в июне 2019 года.
«Если мы хотим привлекать, развивать и удерживать лучших и самых ярких людей страны, мы должны управлять нашими людьми таким образом, чтобы учитывать их навыки, их знания, их поведение и даже их предпочтения», — заметил Эспер.
При нынешней системе «нет необходимости или желания учитывать уникальные таланты или личные предпочтения человека», — добавил он. «Часто только звание и военная специальность — это все, что в большинстве случаев используется для определения человека, следующего за назначением. Такого элементарного управления нашими людьми уже недостаточно для сегодняшнего поколения».
Армия сталкивается с конкуренцией Эспер отметил, что рынок труда, на котором высококвалифицированные специалисты пользуются большим спросом, и победа в «войне за таланты» требует нового подхода к управлению персоналом
.
Однако нанять новых сотрудников было нелегко для Министерства обороны.
Департамент «традиционно изо всех сил боролся за цифровые таланты по самым разным причинам, от требований к переезду, скорости найма и доступа к современным ИТ и инструментам», — говорится в сообщении DIB. Новая норма работы на дому (WFH), связанная с пандемией, «создает возможность для Министерства обороны либо адаптироваться и сократить разрыв, либо еще больше отстать в борьбе за первоклассные технические таланты».
Рекомендация для нанимать гражданских технических экспертов, работающих из дома, «фокусируется на немедленных, краткосрочных действиях по более эффективному использованию и удержанию действующих военнослужащих с навыками цифровых инноваций».
Удаленные сотрудники могут угрожать национальной безопасности
Наем внешних подрядчиков рискованно. Эдвард Сноуден, который в 2013 году сообщил о секретном массовом слежении за коммуникациями американцев Агентством национальной безопасности (АНБ) в рамках программы PRISM, был субподрядчиком АНБ, работая на подрядчика АНБ Booze Allen Hamilton, консультанта по вопросам управления и ИТ. фирма, которая тесно сотрудничает с правительственными учреждениями и различными видами вооруженных сил США.
Сноуден скопировал тысячи строго засекреченных документов по программе PRISM из файлов агентства, сбежал с документами из США и позже передал несколько журналистам, которые их опубликовали, что вызвало возмущение среди многих американцев, когда они узнали о секретном наблюдении.
Действия Эдварда Сноудена иллюстрируют инсайдерскую угрозу кибербезопасности. Эксперты по безопасности считают, что инсайдеры представляют собой большую угрозу для организаций и предприятий, чем внешние хакеры, поскольку они могут легко получить доступ к сетям и данным организации.
Согласно отчету Verizon 2019 Insider Threat Report, инсайдеры несут ответственность за 57 процентов взломов баз данных.
Министерство обороны "следует проверенным в боях протоколам для предоставления и контроля доступа к секретной информации, которые также определяют параметры и требования удаленного доступа", — сказал Вахид Бехзадан, доцент инженерного колледжа Тальятела Университета Нью-Хейвена. TechNewsWorld.
Они могут быть дополнены такими технологиями, как программное обеспечение для предотвращения потери данных, которое использует бизнес-правила для контроля или ограничения отправки конфиденциальной или важной информации за пределы сети, что снижает риск внутренних угроз и утечек данных, сказал Бехзадан.
«Однако отсутствие физического надзора и инспекции в таких сценариях, несомненно, увеличит риск таких компромиссов».
Расширение доступа к удаленным пользователям увеличивает уязвимость Министерства обороны для кибератак », — Бехзадан предупрежден, но кибербезопасность — это всегда «компромисс между снижением риска нарушения безопасности и повышением эффективности и действенности основной задачи».
Одной технологии недостаточно, Даниэль Кастро, вице-президент по информационным технологиям и Фонд инноваций (ITIF) сообщил TechNewsWorld.
«Чтобы предотвратить будущее Сноудена, возможно, ответ -« не лгите американскому народу », а не более жесткие меры безопасности, — сказал Кастро. «Если мы не доверяем людям, работающим на этих уровнях государственного управления, у нас есть гораздо больше, чем просто техническая проблема. Существуют технологии, позволяющие уменьшить размер потенциального нарушения, но она не может предотвратить его».
WFH — новый рубеж угроз
Размещение конфиденциальных данных на устройствах в незащищенной среде, например в доме, сопряжено с риском, потому что «оборудование может быть украдено, людей можно принудить, а данные могут быть скопированы вручную ", — указал Кастро. «Эти риски трудно, если не невозможно, обойти».
Akamai Technologies, глобальная сеть доставки контента, компания, занимающаяся кибербезопасностью и облачными услугами, считает, что работа из дома является новым рубежом угроз.
«Не имеет большого смысла позволять удаленным работникам получать доступ к самым секретным национальным секретам с домашнего компьютера, — сказал Кастро. — Это та же самая причина, по которой банки хранят деньги в хранилищах — и они еще не решили чтобы позволить менеджеру банка приносить его домой ночью только из-за COVID-19 ».
Организации переходят на архитектуру с нулевым доверием, которая обеспечивает лучшую безопасность, даже когда устройству, сети или пользователю нельзя полностью доверять, Кастро отметил, «но у этой модели есть ограничения, и это не то, что Министерство обороны может реализовать в одночасье».
Архитектура с нулевым доверием рассматривает всех пользователей как потенциальные угрозы и предоставляет пользователю полный доступ, но только к самому необходимому минимуму.
Средства управления безопасностью для удаленного доступа
Министерство обороны сделало переход в облако приоритетным и это может помочь обеспечить кибербезопасность для проектов, над которыми работают гражданские технические эксперты из дома.
«Основная забота многих практиков — обеспечение видимости и контроля конфиденциальных данных при их перемещении в облачных приложениях, поскольку эти приложения обслуживают потребности удаленных ", — сказал TechNewsWorld Правин Котари, основатель и генеральный директор облачных решений безопасности CipherCloud.
Министерство обороны должно ввести в действие средства управления облачной безопасностью, чтобы уменьшить уязвимости удаленного доступа и использовать централизованную платформу для реализации мультиоблачной безопасности, Котари — сказал Котари.
«Большинство организаций используют несколько облачных приложений, таких как Microsoft Office 365, Slack и Box, и им необходимо унифицировать доступ и данные во всех этих приложениях», — пояснил Котари. Они также хотят применить централизованный набор политик безопасности и соответствия требованиям безопасности данных.
Использование брокера безопасности облачного доступа в настоящее время является ведущим подходом к защите централизованной платформы, — сообщил он.
Котари рекомендовал Министерству обороны также использовать шифрование для надежной защиты данных. «Шифрование облачных данных и защита ключа от поставщика облачных услуг абсолютно необходимы».
Последняя тенденция — использовать управление на основе прав и разрешать определенным пользователям расшифровывать данные тогда и только тогда, когда они — использовал его, — заметил Котари. Некоторые организации также широко шифруют облачные данные в качестве дополнительной меры предосторожности.