Seperti banyak departemen lainnya, Kesehatan dan Layanan Kemanusiaan telah memindahkan sebagian besar teknologi informasinya ke komputasi awan komersial. Komputasi awan memang membawa banyak manfaat, tetapi juga membutuhkan banyak perhatian, terutama untuk keamanan siber. Inspektur Jenderal HHS menyelesaikan lihat keamanan untuk aplikasi dioperasikan oleh Kantor Sekretaris. Di sini, di Federal Drive bersama Tom Temin dengan temuan tersebut, asisten IG untuk keamanan siber, dan audit TI, Tamara Lilly.
Transkrip wawancara:
Tom Temin Nona Lilly, senang Anda bersama kami.
Tamara Lily Terima kasih. Senang berada di sini.
Tom Temin Dan apa yang ingin Anda lihat di sini? Kantor Sekretaris, tampaknya cukup spesifik untuk aplikasi yang Anda lihat. Ceritakan lebih lanjut tentang sejauh mana Anda mengauditnya.
Tamara Lily Jadi, izinkan saya memberi sedikit konteks. Kami sebenarnya telah merancang serangkaian audit untuk melihat keamanan cloud. Dan ini adalah salah satu dari lima audit dalam rangkaian tersebut. Jadi, fokus kami di sini adalah di tingkat kantor pusat, dan kantor-kantor yang berada dalam Kantor Sekretaris, jadi, bukan Sekretaris sendiri, melainkan wakil sekretaris, tetapi ada beberapa kantor dalam kantor tersebut yang menyediakan layanan yang dibutuhkan dan penting bagi organisasi. Dan sistem cloud merekalah yang menjadi fokus kami.
Tom Temin Apakah ini merupakan sistem yang digunakan di seluruh lembaga atau ada hal lain?
Tamara Lily Sistem-sistem itu akan digunakan, selain berpotensi untuk seluruh lembaga, tetapi juga dalam kasus-kasus darurat. Jadi, sistem itu akan digunakan juga oleh pihak-pihak eksternal, serta pelanggan di tingkat tertinggi yang mungkin perlu berinteraksi dengan beberapa layanan tingkat kantor pusat yang mereka sediakan.
Tom Temin Jadi, apakah ini misalnya sistem SDM, atau sistem keuangan, hal semacam itu?
Tamara Lily Audit khusus ini tidak berfokus pada dua kategori tersebut. Kami memiliki audit tahunan yang sedang berlangsung, yang mencakup kategori-kategori tersebut. Audit ini tidak berfokus pada sistem-sistem tertentu, tetapi pada sistem komputasi awan lain yang telah mereka kontrak.
Tom Temin Oke. Dan ini adalah hal-hal yang, saya duga, dulunya, berada di pusat data, dan sekarang ada di cloud?
Tamara Lily Ya, dalam beberapa kasus, dan beberapa merupakan hubungan kontraktual baru. Seiring dengan berkembangnya kebutuhan kantor, daripada memulai di pusat data tradisional, mereka memulainya dengan penyedia layanan cloud. Misalnya, kita semua ingat COVID dan apa yang dibutuhkan dari departemen dalam hal komunikasinya dengan pihak internal, serta eksternal. Jadi, mereka memiliki kantor pada saat itu. Dan saya hanya ingin menekankan, pekerjaan ini dimulai pada tahun 2022. Mereka memiliki kantor yang merupakan kantor tanggap darurat, dan memiliki sistem yang berkomunikasi pada saat darurat antara berbagai mitra, dan itu termasuk dalam tinjauan khusus ini.
Tom Temin Dan apa yang sebenarnya Anda lihat? Apa yang ingin Anda temukan tentang sistem ini?
Tamara Lily Jadi, kami secara khusus berfokus pada apakah kontrol keamanan siber yang seharusnya diberlakukan sebagaimana diwajibkan oleh pemerintah federal diberlakukan untuk sistem yang mereka miliki, operasikan, atau kelola? Dan untuk menentukan apakah mereka mencegah atau akan mendeteksi serangan siber yang akan membahayakan operasi. Jadi, itulah fokus kami untuk audit khusus ini.
Tom Temin Ya, itulah pertanyaan krusial saat ini, karena ketika agensi berada di pusat data mereka sendiri, mereka sepenuhnya bertanggung jawab atas keamanan siber dan banyak hal lainnya. Namun, ketika Anda berada di cloud, tidak begitu jelas apa yang diamankan oleh penyedia cloud dan apa yang juga harus diamankan oleh Anda sebagai klien atau pelanggan. Apakah itu bagian dari masalah di sini?
Tamara Lily Benar sekali. Anda tepat sasaran. Itulah yang kami lihat, pertama, karena tanggung jawab keamanan tersebut dibagi antara penyedia layanan cloud dan agensi. Dalam kasus ini, penting, kuncinya adalah tanggung jawab tersebut didefinisikan dan dipahami. Dan kemudian masing-masing pihak melakukan bagiannya, mereka benar-benar menerapkan kontrol tersebut untuk memastikan keamanan yang ada.
Tom Temin Dan apakah Anda melakukan uji tekanan dan melihat apakah serangan akan berhasil, hal semacam itu? Atau apakah itu lebih merupakan audit terhadap apa yang berlaku dalam hal kontrol siber?
Tamara Lily Kami sebenarnya melakukan sedikit dari keduanya. Jadi, yang pertama, fondasinya, jika Anda mau, adalah melihat inventaris. Kami ingin menentukan apakah inventaris sistem cloud tersebut ada karena Anda perlu tahu apa yang harus dilindungi. Dan itu akan termuat dalam inventaris. Dan kemudian bagian lain dari audit adalah melakukan beberapa pengujian tekanan, jika Anda mau, tetapi itu dari dua jenis pendekatan yang berbeda, di mana kami menggunakan pemindai dan alat penilaian cloud untuk menentukan apakah konfigurasi sistem cloud tersebut sesuai. Jadi, jika Anda hanya menginginkan lima orang yang masuk atau menggunakan, maka Anda ingin memastikan bahwa konfigurasi Anda diatur sedemikian rupa sehingga demikian halnya dan kemudian kami juga melakukan apa yang kami sebut pengujian penetrasi. Dan di situlah, jika Anda mau, kami bertindak seperti peretas yang mencoba mendapatkan akses dari eksternal dan, sampai tingkat tertentu, internal. Itu adalah serangan siber yang disimulasikan.
Tom Temin Kami sedang berbicara dengan Tamara Lilly. Ia adalah asisten Inspektur Jenderal untuk keamanan siber dan audit TI di Departemen Kesehatan dan Layanan Kemanusiaan. Dan, apa yang Anda temukan, antara pengujian tekanan, pengujian penetrasi, dan sebagainya?
Tamara Lily Jadi, sekali lagi, kami mulai dengan langkah dasar untuk melihat inventaris. Dan yang kami temukan dari inventaris adalah bahwa ada beberapa sistem yang tidak terdokumentasi dalam inventaris. Jadi, sekali lagi, alasan mengapa itu penting adalah karena Anda perlu tahu apa yang harus dilindungi. Jadi, Anda perlu tahu apa yang Anda miliki di lingkungan Anda yang perlu dan memerlukan perlindungan. Kami juga, bagian audit yang lebih besar, jika Anda mau, difokuskan pada pengujian jenis tekanan, pengujian penetrasi, pemindaian, dan alat penilaian. Dan dalam hal itu, kami mengidentifikasi banyak kontrol yang tidak beroperasi secara efektif, atau contoh keamanan, misalnya sistem lain dalam inventaris itu. Sebenarnya hanya contoh kecil, hanya ada 14 sistem informasi cloud yang menjadi fokus kami.
Tom Temin Wah. Jadi, dengan tidak adanya kontrol, maka apa pun bisa terjadi, kedengarannya seperti itu.
Tamara Lily Yah, saya tidak akan mengatakan apa pun mungkin. Itu berkisar dari beberapa kontrol yang sangat mendasar yang perlu diperkuat. Kami melakukan pekerjaan yang lebih baik dengan kata sandi yang berputar, jika Anda mau. Tetapi Anda tahu, hanya ada beberapa yang menyebabkan kami segera memberi tahu departemen sehingga mereka dapat mengambil beberapa tindakan lebih cepat daripada yang lain. Tetapi bahkan itu tidak biasa bagi entitas lain yang berfokus pada bidang cloud ini. Dan Anda sendiri mungkin telah mendengar berkali-kali, kebutuhan untuk memastikan autentikasi multifaktor tersedia di seluruh akses yang diberikan kepada mereka yang mengakses berbagai sistem. Jadi, meskipun kata sandi ada, yang kami lihat untuk multifaktor tersebut adalah Anda perlu mengetahui sesuatu seperti kartu atau semacamnya dan pena, beberapa informasi yang Anda miliki. Jadi, itu adalah salah satu kelemahan kontrol yang lebih penting yang kami identifikasi.
Tom Temin Dalam pertanyaan inventaris, seseorang harus tahu bahwa mereka ada di sana, tetapi tidak ada satu titik informasi pun yang dapat diketahui departemen bahwa semuanya ada di sana. Apakah itu cara yang baik untuk menjelaskannya?
Tamara Lily Saya setuju. Ya, tentu saja, Anda tahu, orang-orang tahu sistem itu ada di sana, mereka memelihara sistem itu, persyaratan bagi pemerintah federal adalah agar semua sistem itu dicantumkan. Jadi, Anda tahu, jika Anda mau, jika saya tidak masuk kerja suatu hari, dan ada kebutuhan untuk menambal sistem dengan cepat, seperti beberapa kejadian keamanan siber yang kita alami, Anda tidak dapat mengandalkan saya. Jadi, pemerintah mengharuskan agar semua itu didokumentasikan di satu tempat dan beberapa informasi penting tentangnya. Jadi, pada titik waktu tertentu, itu tersedia.
Tom Temin Dan omong-omong, siapa yang bertanggung jawab atas sistem ini? Apakah kantor CIO HHS? Atau adakah sub-CIO terpisah, jika Anda mau, untuk Kantor Sekretaris?
Tamara Lily Keduanya, sebenarnya. Jadi, di tingkat kantor pusat, jika Anda mau, ada Kepala Kantor Informasi dan seorang pejabat dan petugas keamanan informasi di tingkat kantor pusat yang bertanggung jawab atas kebijakan, prosedur, dan sistem yang mereka tangani secara langsung. Namun, di dalam masing-masing lembaga di bawah HHS, mereka mengambil tanggung jawab langsung, sub mereka masing-masing, jika Anda mau, petugas informasi bertanggung jawab untuk memelihara inventaris mereka. Dan bersama-sama, mereka membuat inventaris di seluruh departemen.
Tom Temin Jadi, kedengarannya Anda punya beberapa rekomendasi untuk mereka.
Tamara Lily Kami benar-benar punya rekomendasi. Kami punya empat rekomendasi, dan saya senang melaporkan bahwa rekomendasi tersebut ditanggapi dengan sangat serius dan departemen segera setelah kami melakukan audit, kami memberi tahu mereka, mengambil tindakan, dan telah menyelesaikan semua, jika tidak semua, tindakan perbaikan yang diperlukan untuk menangani rekomendasi kami. Namun, rekomendasi kami, jika Anda mau, seperti yang Anda bayangkan, salah satunya adalah mereka perlu memastikan bahwa inventaris cloud lengkap dan akurat. Rekomendasi lainnya adalah mereka menangani 12 temuan kontrol keamanan yang telah kami identifikasi, dan kami merekomendasikan dua tindakan lain untuk diambil. Salah satunya adalah menerapkan strategi untuk mengidentifikasi pembelian dan menerapkan alat penilaian dan pemindai kontrol keamanan. Dan ini akan memfasilitasi kemampuan departemen untuk mengidentifikasi dan memperbaiki kelemahan, lebih tepat waktu, serta mengembangkan kebijakan dan proses untuk pelatihan petugas keamanan. Ini merupakan tantangan di dunia kita di lingkungan kita, dengan mempertahankan petugas keamanan sebagai staf dan hanya memiliki program dan kebijakan yang dikembangkan dengan baik untuk memastikan hal itu terjadi adalah salah satu hal yang ingin kami lihat ditingkatkan.
Tom Temin Baiklah. Kedengarannya seperti saran yang bagus untuk semua orang di era cloud. Tamara Lilly adalah asisten Inspektur Jenderal untuk keamanan siber dan audit TI di Health and Human Services. Terima kasih banyak telah bergabung dengan saya.
Tamara Lily Terima kasih sudah menerima saya.
Tom Temin Kami akan mengunggah wawancara ini beserta tautan ke laporannya di federalnewsnetwork.com/federaldrive. Berlangganan Federal Drive di mana pun Anda mendapatkan podcast.
Hak cipta © 2024 Federal News Network. Semua hak dilindungi undang-undang. Situs web ini tidak ditujukan untuk pengguna yang berlokasi di dalam Wilayah Ekonomi Eropa.