ในโลกที่สนามรบพัฒนาอย่างรวดเร็ว กระทรวงกลาโหมสหรัฐฯ (DoD) กลับต้องเผชิญกับปัญหาสำคัญ ถึงแม้จะมีเทคโนโลยีระดับสูงอยู่ในระบบอย่างมากมาย แต่เหล่าทหารกลับต้องรอเป็นเดือนหรือเป็นปี กว่าซอฟต์แวร์สำคัญที่จำเป็นจะถูกอนุมัติให้ใช้งานได้ เนื่องจากกระบวนการ Authority to Operate (ATO) ภายใต้ Risk Management Framework (RMF) มีความล้าสมัยและซับซ้อน
ปัญหาหลัก: ระบบ ATO ล้าหลังและขัดนวัตกรรม
ระบบที่กลายเป็นอุปสรรคต่อการใช้งานเทคโนโลยี
- ระบบ ATO ถูกออกแบบมาเพื่อรักษาความมั่นคงของระบบสารสนเทศ แต่กลับกลายเป็นอุปสรรคจากกระบวนการที่เข้มงวดและไม่สอดคล้องกัน
- ผู้อนุมัติแต่ละรายมีมาตรฐานประเมินความเสี่ยงไม่เหมือนกัน ทำให้เกิดความล่าช้า ไม่เสถียร และบางโครงการต้องดำเนินการใหม่ซ้ำ ๆ
- ตัวอย่างเช่น ซอฟต์แวร์ Okta สำหรับ Identity Access Management ที่สนับสนุนการทำงานแบบ Zero Trust ก็ยังติดอยู่ในขั้นตอนการขอ ATO
ความสับสนในการประเมินความเสี่ยง
ระบบ RMF กับการใช้งานจริง
- RMF ถูกออกแบบให้ประเมินจาก ความเสี่ยง แทนเช็กลิสต์ แต่นำไปสู่กระบวนการเอกสารที่ไม่สิ้นสุดในทางปฏิบัติ
- ไม่มี มาตรฐานกลาง สำหรับผู้อนุมัติ ทำให้เมื่อใช้งานในหน่วยงานอื่น ต้องเริ่มกระบวนการขอ ATO ใหม่
- การประเมินส่วนใหญ่ยังเป็น manual และตรวจเฉพาะช่วงเวลา (snapshot) แทนการติดตามอย่างต่อเนื่อง
ช่องว่างทักษะในบุคลากรด้าน Cybersecurity
ความไม่สอดคล้องระหว่างเทคโนโลยีกับความรู้ของบุคลากร
- เจ้าหน้าที่ด้าน Cybersecurity จำนวนมาก ไม่มีความรู้ เรื่องเทคโนโลยีสมัยใหม่ เช่น Cloud-native, Containerization หรือ Infrastructure-as-Code
- ประสบการณ์ของผู้เขียนพบว่าทีมประเมินยัง ไม่รู้จัก Kubernetes แม้เป็นเทคโนโลยีหลักที่ใช้งานอยู่แล้วใน DoD
- ต้องเสียเวลา สอนผู้ประเมิน ก่อนเริ่มขั้นตอน ATO จริง
แนวทางแก้ไขที่แนะนำ
-
ลงทุนในบุคลากรและการฝึกอบรม
- สร้างบุคลากร Cyber รุ่นใหม่ที่มีทักษะด้าน CI/CD, Security Automation และ Cloud Architecture
- จัดอบรม, สร้างสายอาชีพเฉพาะ และสร้าง แรงจูงใจจากทักษะ ไม่ใช่แค่จากประสบการณ์
-
สร้างระบบอัตโนมัติสำหรับการควบคุมความปลอดภัย
- ใช้การตรวจสอบอัตโนมัติสำหรับ Zero Trust, การยืนยันตัวตน, การสแกนหาช่องโหว่ และการล็อกข้อมูล (logging)
- หากซอฟต์แวร์ตรวจสอบเกณฑ์อัตโนมัติผ่าน ก็สามารถ ใช้งานได้ทันที ในระบบจริง
-
ลดงานเอกสารที่ซ้ำซ้อน
- เปลี่ยนจากเอกสาร Word แบบคงที่ มาเป็น “เอกสารแบบมีชีวิต” ที่อัปเดตอัตโนมัติจาก pipeline
- เช่น แผนผังระบบ, ข้อมูลเทเลเมตริกด้านความปลอดภัย และผลทดสอบ
SWFT: จุดเปลี่ยนทางวัฒนธรรม
เมื่อวันที่ 5 พฤษภาคมที่ผ่านมา DoD ได้เปิดตัวแนวทางใหม่ชื่อว่า Software Fast Track (SWFT) โดยมีเป้าหมายเพื่อเพิ่มความคล่องตัวในการพัฒนาซอฟต์แวร์ ผ่านมาตรฐานแบบ โมดูลาร์ และการวัดผลจาก ความต้องการของหน่วยรบ
แต่เพื่อให้ SWFT สำเร็จจริง จำเป็นต้องเปลี่ยนแปลง วัฒนธรรมองค์กร โดยบุคลากรด้านจัดซื้อและไซเบอร์ต้องเลิกมองว่า compliance คือเช็กลิสต์ และหันมาให้คุณค่ากับ การออกแบบระบบที่ปลอดภัยตั้งแต่ต้น
สรุป
- ถึงเวลาแล้วที่ กระทรวงกลาโหมสหรัฐฯ ต้องยกระดับทักษะบุคลากร
- ปรับโครงสร้างการอนุมัติให้ ยืดหยุ่น ปลอดภัย และเป็นอัตโนมัติ
- เปลี่ยนมุมมองการรักษาความมั่นคงให้เป็น ภารกิจสนับสนุนการรบ แทนที่จะเป็นอุปสรรค
หากยังปล่อยให้กระบวนการ ATO ล่าช้าและขวางทางนวัตกรรมต่อไป อเมริกาอาจสูญเสีย ความได้เปรียบ ในสนามรบยุคดิจิทัลอย่างไม่อาจมองข้ามได้
