Katie Arrington เจ้าหน้าที่ระดับสูงของกระทรวงกลาโหมสหรัฐฯ (DoD) ที่รับหน้าที่ CIO ชั่วคราว ประกาศแผนการปฏิวัติกรอบจัดการความเสี่ยงด้านซอฟต์แวร์ของเพนตากอน (Risk Management Framework – RMF) ซึ่งถูกมองว่าเป็นระบบที่ล้าสมัยและล่าช้า โดยเธอเน้นว่า ถ้าหากจะพาซอฟต์แวร์ยุคใหม่เข้าสู่การใช้งานจริงโดยทหารผ่านกระบวนการที่รวดเร็วและปลอดภัย จึงจำเป็นต้อง “เปลี่ยนเกม” ให้หมดรูป
ไอเดียนี้นำไปสู่การเปิดตัวโครงการใหม่ที่เรียกว่า “Software Fast Track” หรือ SWFT
🔍 จุดประสงค์ของ SWFT
- แทนที่กระบวนการเดิม เช่น Authority to Operate (ATO) และ RMF ที่ใช้เวลามากและมีโครงสร้างซับซ้อน
- ใช้ฟีเจอร์อัตโนมัติและแนวคิด “Continuous ATO” (ระบบที่ประเมินข้อมูลความปลอดภัยแบบเรียลไทม์ แทนกระบวนการอนุมัติเป็นครั้งๆ)
- บูรณาการกับมาตรฐาน Cybersecurity Maturity Model Certification (CMMC)
ทั้งนี้ SWFT ยังเป็นไปตามบันทึกคำสั่งของรัฐมนตรีกระทรวงกลาโหม Pete Hegseth เมื่อวันที่ 7 มีนาคม ที่เรียกร้องให้ยุทธศาสตร์การจัดหาซอฟต์แวร์ของเพนตากอนเข้าสู่ยุคใหม่ที่คล่องตัวขึ้น ลดความซ้ำซ้อน และเพิ่มประสิทธิภาพในการใช้งบประมาณ
✅ โมเดลการประเมินใหม่
- Vendor ต้องผ่านการประเมินสถานะไซเบอร์โดยองค์กรบุคคลที่ 3 ตามตัวชี้วัดความเสี่ยง 12 ประการ
- ต้องมี “Software Bill of Materials (SBOM)” หรือรายการวัสดุซอฟต์แวร์ที่ได้รับการรับรองโดยบุคคลที่สามเช่นกัน
- ใช้ระบบ Continuous ATO ควบคู่กับการวางระบบอัตโนมัติ เช่น AI, ระบบแจ้งเตือนและตรวจสอบแบบเรียลไทม์
🧠 กระทรวงกลาโหมเตรียมใช้ Sprint 90 วัน
ภายใต้บันทึกอีกฉบับหนึ่ง ซึ่ง Arrington ลงนามเมื่อวันที่ 24 เมษายน เธอได้เริ่มโครงการ “90-day sprint” เพื่อกำหนดแผนการดำเนินงานของ SWFT ให้ชัดเจน ซึ่งจะรวมถึง:
- การกำหนดมาตรฐานจัดการความเสี่ยงทางไซเบอร์และซัพพลายเชน
- กระบวนการตรวจสอบความปลอดภัยของซอฟต์แวร์ที่เข้มงวด
- ช่องทางสื่อสารข้อมูลที่ปลอดภัย
- การประเมินความเสี่ยงแบบชี้ขาดโดยหน่วยงานรัฐบาลเพื่อเร่งอนุมัติไซเบอร์ให้เร็วขึ้น
🕒 กำหนดเวลาเริ่มใช้งาน
- โครงการมีกำหนดเริ่มต้นอย่างเป็นทางการ: 1 มิถุนายน 2025
- เอกชนที่สนใจจำหน่ายซอฟต์แวร์ให้เพนตากอนควรเร่งเตรียมตัว แม้ว่าเส้นตายสำหรับการปฏิบัติตามข้อกำหนดจะเป็นช่วงหลังจากวันเริ่มต้น
💰 ช่วยธุรกิจประหยัดงบ
Arrington ระบุว่ากระบวนการอนุมัติ ATO เดิมอาจทำให้บริษัทต้องเสียค่าใช้จ่ายสูงถึง $500,000 ต่อโครงการ ในขณะที่การประเมินโดยบุคคลที่ 3 หรือตรวจสอบ SBOM อาจใช้เพียงราว $300-500 ซึ่งลดต้นทุนได้มาก
เธอยังระบุว่า SWFT จะช่วยลดค่าใช้จ่ายของกระทรวงกลาโหมเองด้วย ที่ปัจจุบันต้องใช้งบประเมิน ATO สูงถึง “หลายร้อยล้านดอลลาร์ต่อปี” ซึ่งไม่ควรเป็นภาระของผู้เสียภาษีอีกต่อไป
🤔 อนาคตของ Arrington ยังไม่แน่ชัด
ในขณะที่โครงการนี้เพิ่งเปิดตัว มีรายงานว่า Kirsten Davies อดีตผู้บริหารจากภาคเอกชนซึ่งมีประสบการณ์ด้านไอทีและความมั่นคงไซเบอร์ได้ถูกเสนอชื่อให้ดำรงตำแหน่ง CIO คนใหม่ของกระทรวง ซึ่งอาจแทนที่ Arrington ในอนาคตอันใกล้
อย่างไรก็ตาม ทีมของเธอยังไม่สามารถให้ความเห็นเกี่ยวกับอนาคตของเธอในกระทรวงได้ในตอนนี้
