หน่วยงานต่างๆ มีเวลา 19 เดือนในการย้ายเว็บไซต์สาธารณะทั้งหมดไปสู่มาตรฐานความปลอดภัยทางไซเบอร์ที่เรียกว่า HTTP secureในบันทึกใหม่ถึงผู้บริหารหน่วยงานโทนี่ สก็อตต์ ประธานเจ้าหน้าที่ฝ่ายข้อมูลของรัฐบาลกลางได้ให้รายละเอียดเกี่ยวกับข้อกำหนด 4 ประการสำหรับหน่วยงานที่จะต้องปฏิบัติตาม โดยเริ่มจากการใช้แนวทางตามความเสี่ยงเพื่อพิจารณาว่าเว็บไซต์หรือบริการเว็บใดที่จะย้ายไปที่ HTTPS ก่อน Scott กล่าวว่าไซต์ที่เกี่ยวข้องกับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ซึ่งเนื้อหามีความละเอียดอ่อนหรือไซต์
ได้รับการเข้าชมระดับสูงควรได้รับการย้ายไปยัง HTTPS โดยเร็วที่สุด
สกอตต์ให้หน่วยงานจนถึงวันที่ 31 ธันวาคม 2559 ในการย้ายบริการออนไลน์สาธารณะทั้งหมดไปสู่มาตรฐานความปลอดภัย
“HTTPS รับประกันความสมบูรณ์ของการเชื่อมต่อระหว่างสองระบบเท่านั้น ไม่ใช่ตัวระบบเอง มันไม่ได้ออกแบบมาเพื่อปกป้องเว็บเซิร์ฟเวอร์จากการถูกแฮ็กหรือบุกรุก หรือเพื่อป้องกันไม่ให้บริการเว็บเปิดเผยข้อมูลของผู้ใช้ระหว่างการทำงานตามปกติ” สก็อตต์กล่าวในบล็อกโพสต์ “อย่างไรก็ตาม มาตรฐาน HTTPS เท่านั้นจะกำจัดการตัดสินใจที่ไม่สอดคล้องกันและเป็นอัตวิสัยว่าเนื้อหาหรือกิจกรรมการท่องเว็บใดมีความละเอียดอ่อนโดยธรรมชาติ และสร้างมาตรฐานความเป็นส่วนตัวที่แข็งแกร่งขึ้นทั่วทั้งภาครัฐ”
ข้อมูลเชิงลึกโดย Tenable: ในระหว่างการสัมมนาผ่านเว็บคู่มือ CISO
สุดพิเศษนี้ ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Brian Hermann จาก Defense Information Systems Agency และ Christopher Day จาก Tenable จะสำรวจความคืบหน้าและกลยุทธ์ของ Zero Trust ที่ DISA
นอกจากนี้ Scott กล่าวว่าเว็บไซต์ของรัฐบาลกลางหรือบริการออนไลน์ใหม่ทั้งหมดต้องใช้มาตรฐาน HTTPS ตั้งแต่เปิดตัว และ OMB เป็นเพียงการสนับสนุนเท่านั้น ไม่ได้กำหนดให้ไซต์อินทราเน็ตของหน่วยงานใช้ข้อกำหนดนี้
OMB สร้างแดชบอร์ดเพื่อติดตามความคืบหน้าของหน่วยงาน เมื่อวันที่ 29 พฤษภาคม OMB กล่าวว่า31 เปอร์เซ็นต์ของเว็บไซต์ของรัฐบาลกลางทั้งหมดตรงตามมาตรฐาน HTTPS
“เว็บไซต์ของรัฐบาลกลางที่ไม่ได้แปลงเป็น HTTPS จะไม่ปฏิบัติตามแนวทางปฏิบัติด้านความเป็นส่วนตัวและความปลอดภัยที่องค์กรการค้าใช้ รวมถึงมาตรฐานอินเทอร์เน็ตในปัจจุบันและที่กำลังจะมีขึ้น” สก็อตต์เขียนไว้ในบันทึก “สิ่งนี้ทำให้ชาวอเมริกันเสี่ยงต่อภัยคุกคามที่รู้จัก และอาจลดความเชื่อมั่นในรัฐบาลของพวกเขา แม้ว่าเว็บไซต์ของรัฐบาลกลางบางแห่งจะใช้ HTTPS แต่ก็ยังไม่มีนโยบายที่สอดคล้องกันในด้านนี้ คำสั่งที่ใช้ HTTPS เท่านั้นจะมอบประสบการณ์การท่องเว็บที่สม่ำเสมอและเป็นส่วนตัวแก่สาธารณะ และวางตำแหน่งรัฐบาลกลางในฐานะผู้นำด้านความปลอดภัยทางอินเทอร์เน็ต”
OMB ออกร่างข้อเสนอในเดือนมีนาคมและขอความคิดเห็นจากภาครัฐและเอกชนเกี่ยวกับการสร้างนโยบาย
18F ของ General Services Administration ติดตามการพัฒนานโยบายอย่างใกล้ชิดและกล่าวในบล็อกโพสต์ว่าร่างนโยบายที่โพสต์บนเว็บไซต์ GitHub “ได้รับความคิดเห็นและข้อเสนอแนะมากมาย รวมถึงแถลงการณ์จากคณะกรรมการสถาปัตยกรรมอินเทอร์เน็ต กลุ่มสถาปัตยกรรมทางเทคนิค W3C มูลนิธิชายแดนอิเล็กทรอนิกส์ สหภาพเสรีภาพพลเรือนอเมริกัน สถาบันเทคโนโลยีเปิด Google และ Mozilla”
OMB ระบุอย่างชัดเจนในคำแนะนำใหม่ว่า HTTPS รับประกันการเชื่อมต่อที่ปลอดภัยระหว่างเว็บไซต์เท่านั้น มาตรฐานนี้ไม่ได้ป้องกันไซต์ที่ติดมัลแวร์หรือถูกแฮ็กอยู่แล้ว
“การใช้มาตรฐาน HTTPS เท่านั้นไม่ได้มาโดยไม่มีค่าใช้จ่าย เว็บไซต์ของรัฐบาลกลางจำนวนมากได้ปรับใช้ HTTPS แล้ว เป้าหมายของนโยบายนี้คือการเพิ่มการรับเลี้ยงบุตรบุญธรรม” สก็อตต์เขียน “ภาระด้านการบริหารและการเงินของการนำ HTTPS มาใช้อย่างถ้วนหน้าในเว็บไซต์ของรัฐบาลกลางทั้งหมดรวมถึงเวลาในการพัฒนา ต้นทุนทางการเงินในการจัดหาใบรับรอง และภาระด้านการดูแลระบบในการบำรุงรักษาตามระยะเวลา
