ความท้าทายด้านห่วงโซ่อุปทานที่เกี่ยวข้องกับการแพร่ระบาดและการโจมตีของ SolarWinds แสดงให้เห็นถึงความเสี่ยงด้านความมั่นคงของประเทศและเศรษฐกิจต่อห่วงโซ่อุปทานของรัฐบาลกลาง และความจำเป็นที่ฝ่ายบริหารจะต้องยอมรับสภาความมั่นคงในการเข้าซื้อกิจการของรัฐบาลกลาง (FASC) เพื่อรับมือกับความท้าทายนี้ ความท้าทายนี้รุนแรงเป็นพิเศษสำหรับรัฐบาลกลางในฐานะหนึ่งในหน่วยงานจัดซื้อที่ใหญ่ที่สุดในโลก โดยทำสัญญาซื้อขายสินค้าและบริการมูลค่า 681 พันล้านดอลลาร์จากหลายหน่วยงานและผู้เชี่ยวชาญด้านการทำสัญญาหลายหมื่นรายในปีงบประมาณ 2563
มีความพยายามหลายสายภายในรัฐบาลที่เกี่ยวข้องกับความปลอดภัย
ของห่วงโซ่อุปทานในตลาดกลาง และคำสั่งผู้บริหารทางไซเบอร์ล่าสุด (EO) ของรัฐบาลว่าด้วยการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศรับทราบถึงความจำเป็นอย่างยิ่งยวดในการรักษาความปลอดภัยตลาดของรัฐบาลกลางโดยกำหนดกฎการได้มาซึ่งการปรับปรุงของรัฐบาลกลางและรายการวัสดุซอฟต์แวร์ อย่างไรก็ตาม ความพยายามหลายด้านเหล่านี้และ EO ล้มเหลวในการรับทราบเครื่องมือสำคัญที่สภาคองเกรสจัดหาให้เพื่อประสานงานความพยายามนี้ผ่าน FASC
ความพยายามหลายระดับเหล่านี้ส่งสัญญาณถึงการยอมรับความเสี่ยง แต่หากไม่มีการประสานงานและแนวทางของรัฐบาลที่เป็นเอกภาพ กิจกรรมเหล่านี้ก็จะล้มเหลว FASC ซึ่งจัดตั้งขึ้นโดย SECURE Technology Act ปี 2018 นำเสนอโอกาสในการประสานงานและแบ่งปันข้อมูลเพื่อจัดการกับความเสี่ยงด้านความปลอดภัยของซัพพลายเชนในตลาดการจัดหาของรัฐบาลกลาง FASC มีอำนาจในการแนะนำคำสั่งให้ลบออกจากสัญญาที่มีอยู่หรือไม่รวมอยู่ในการพิจารณาเพิ่มเติมในระหว่างการประเมินข้อเสนอสินค้าและบริการบางอย่างที่เกี่ยวข้อง กฎหมายยังยอมรับ FASC เป็นฟอรั่มระหว่างหน่วยงานเพื่อประสานงานและแบ่งปันข้อมูลด้านความปลอดภัยของห่วงโซ่อุปทานกับภาคเอกชนและผู้มีส่วนได้ส่วนเสียอื่น ๆ ของรัฐบาลกลาง
ในปี 2019 หน่วยงาน FASC เริ่มบังคับใช้กฎหมายโดยมีการประชุมเจ้าหน้า
ที่ของหน่วยงานเป็นประจำ FASC นำโดยสำนักงานการจัดการและงบประมาณ เรียกประชุมหน่วยงานพันธมิตรเพื่อจัดตั้งกระบวนการและรับข้อผูกพันด้านทรัพยากรเพื่อสนับสนุนงานของ FASC เป็นที่ชัดเจนว่าความพยายามหลายสายในการแก้ไขปัญหาห่วงโซ่อุปทานได้ขยายทรัพยากรที่มีอยู่อย่างจำกัด เนื่องจากหน่วยงานต่างๆ มักจะมีปัญหาในการระบุผู้เชี่ยวชาญเพื่อสนับสนุน FASC นอกจากนี้ยังเห็นได้ชัดว่าหน่วยงานกำหนดมาตรฐาน พัฒนาข้อมูลภัยคุกคาม และการดำเนินการที่จำเป็นในการประชุมเพื่อให้แน่ใจว่ามีการประสานงาน งานในช่วงแรกของ FASC ยังเกี่ยวข้องกับการฝึกปฏิบัติบนโต๊ะ ซึ่งเน้นความท้าทายในการแบ่งปันข้อมูลและช่องว่างในการดำเนินการข้อมูลภัยคุกคาม
ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
FASC นำเสนอโอกาสสำหรับแนวทางของรัฐบาลกลางที่เป็นเอกภาพในการเป็นหุ้นส่วนกับผู้ขายเพื่อจัดการกับความเสี่ยงด้านห่วงโซ่อุปทานในการเข้าซื้อกิจการของรัฐบาลกลาง EO ความปลอดภัยทางไซเบอร์ล่าสุดดำเนินการที่สำคัญเพื่อจัดการกับความปลอดภัยของห่วงโซ่อุปทานในตลาดกลาง แต่ล้มเหลวในการรับทราบถึงบทบาทที่สำคัญที่ FASC สามารถเล่นได้และหน่วยงาน FASC ที่มีอยู่
มีการดำเนินการหลายอย่างร่วมกับผู้นำ OMB ที่สามารถช่วยให้ FASC บรรลุศักยภาพสูงสุด รวมถึงการดำเนินการตามอำนาจหน้าที่และภารกิจใน SECURE Technology Act OMB ควรจัดการประชุม FASC เป็นประจำ ตรวจสอบให้แน่ใจว่าหน่วยงานต่างๆ อุทิศทรัพยากรที่เหมาะสมให้กับเจ้าหน้าที่ของ FASC และกำหนดลำดับเวลาสำหรับการพิจารณาและดำเนินการกับข้อมูลภัยคุกคาม
FASC ควรใช้อำนาจของตนอย่างจริงจังในการขอข้อมูลจากหน่วยงานต่างๆ และแบ่งปันข้อมูลดังกล่าวเพื่อปฏิบัติหน้าที่เพื่อให้แน่ใจว่ามีการพิจารณาอย่างครบถ้วนเกี่ยวกับภัยคุกคามและมาตรการลดผลกระทบที่มีประสิทธิภาพ การแบ่งปันข้อมูลนี้มีความสำคัญอย่างยิ่งเพื่อให้แน่ใจว่าหน่วยงานต่างๆ ของรัฐบาลที่รวบรวมข้อมูลภัยคุกคามสามารถแบ่งปันข้อมูลในรูปแบบที่ดำเนินการได้สำหรับผู้เชี่ยวชาญด้านการซื้อกิจการ หากขาดอำนาจในการแบ่งปันข้อมูล OMB ควรเตรียมการแก้ไขพระราชบัญญัติเทคโนโลยีที่ปลอดภัยเพื่ออำนวยความสะดวกในการทำงานของ FASC
ควรมีการทำงานร่วมกันที่ดีขึ้นระหว่างหน่วยข่าวกรอง การบังคับใช้กฎหมาย และหน่วยงานที่มุ่งเน้นการซื้อกิจการใน FASC หน่วยงานที่มีข้อมูลภัยคุกคามและมาตรฐานที่กำลังพัฒนาควรเรียนรู้เพิ่มเติมจากเพื่อนร่วมงานในการจัดซื้อเกี่ยวกับกระบวนการจัดหาของรัฐบาลกลางและตลาดกลาง เพื่อทำความเข้าใจว่าข้อมูลประเภทใดและในรูปแบบใด ข้อมูลดังกล่าวจะเป็นประโยชน์มากที่สุดสำหรับผู้เชี่ยวชาญด้านการจัดหาเพื่อรักษาความปลอดภัยในห่วงโซ่อุปทาน นอกจากนี้ FASC ควรกำหนดให้ DHS/CISA และ General Services Administration ให้บริการร่วมกันเพื่อสนับสนุนการประเมินความเสี่ยงของห่วงโซ่อุปทานและโซลูชันสัญญาทั่วไป เช่น การวิเคราะห์การเรียนรู้ด้วยเครื่องเพื่อสนับสนุนการตัดสินใจเกี่ยวกับความเสี่ยงของห่วงโซ่อุปทาน เราอยู่ในรายชื่อวัตถุต้องห้ามหรือผลิตภัณฑ์ที่มีการปรับปรุงเป็นครั้งคราว
