রাষ্ট্রপতি জো বিডেন এই সপ্তাহে তার দ্বিতীয় সাইবার সিকিউরিটি নির্বাহী আদেশে স্বাক্ষর করবেন বলে আশা করা হচ্ছে, বড় সাইবার ঘটনা দ্বারা সংজ্ঞায়িত একটি শব্দ বুকিং।
রাষ্ট্রপতি হোয়াইট হাউসে প্রবেশ করেছিলেন ঠিক যখন সরকারী এবং বেসরকারী খাত সোলারউইন্ডস সাইবার ঘটনার প্রভাব অনুভব করতে শুরু করেছিল। তিনি চলে যাওয়ার সময়, এজেন্সি এবং টেলিকমিউনিকেশন কোম্পানিগুলি সল্ট টাইফুন এবং ট্রেজারি ডিপার্টমেন্টের হ্যাকগুলি খনন করছে। এর মধ্যে, এজেন্সিগুলি স্বাস্থ্যসেবা, স্কুল সিস্টেম এবং অন্যান্য সেক্টরের বিরুদ্ধে র্যানসমওয়্যার ব্যবহারে উল্লেখযোগ্য বৃদ্ধি, Log4j হুমকি এবং অন্যান্য অসংখ্য সাইবার আক্রমণের সাথে মোকাবিলা করেছে যা তার সাইবার নেতাদের বেশি ব্যস্ত রাখে।
এবং এই নতুন EO ফেডারেল প্রধান তথ্য কর্মকর্তা এবং প্রধান তথ্য নিরাপত্তা কর্মকর্তাদের সবসময় পরিবর্তনশীল হুমকি মোকাবেলা করার জন্য আরও প্রয়োজনীয়তা এবং সরঞ্জাম দেওয়ার চেষ্টা করবে। 2021 সালের মে মাসে বিডেন তার প্রথম সাইবার ইও জারি করেন।
ফেডারেল নিউজ নেটওয়ার্ক জানতে পেরেছে যে খসড়া EO-তে সার্কুলার A-130 পুনরায় লেখার জন্য অফিস অফ ম্যানেজমেন্ট এবং বাজেটের জন্য একটি প্রয়োজনীয়তা অন্তর্ভুক্ত রয়েছে। এতে নতুন সফ্টওয়্যার প্রত্যয়ন প্রয়োজনীয়তা, কৃত্রিম বুদ্ধিমত্তা কীভাবে সুরক্ষিত করা যায় এবং পোস্ট-কোয়ান্টাম ক্রিপ্টোগ্রাফির জন্য প্রস্তুত করা যায় সে সম্পর্কে নতুন আদেশ অন্তর্ভুক্ত রয়েছে। বর্ডার গেটওয়ে প্রোটোকল এবং রুট অরিজিন অনুমোদন ইন্টারনেট রাউটিং-ভিত্তিক নেটওয়ার্ক সরঞ্জামগুলির নিরাপত্তা এবং স্থিতিস্থাপকতা উন্নত করার প্রয়োজনীয়তা।
কিন্তু খসড়া EO-এর একটি বিভাগ যা কিছু ফেডারেল এক্সিকিউটিভদের জন্য সবচেয়ে বেশি উদ্বেগজনক, সেটি বেসামরিক সংস্থাগুলির জন্য সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার সিকিউরিটি এজেন্সির (CISA) ক্রমাগত অ্যাক্সেস ক্ষমতা (PAC) প্রোগ্রামকে বাধ্যতামূলক করে তুলবে।
কিন্তু খসড়া EO এর সুনির্দিষ্টতার বাইরে, কিছু ফেডারেল এক্সিকিউটিভ এর প্রকাশের সময় নিয়ে প্রশ্ন তুলছেন।
এই দ্বিতীয় ইও বেশ কয়েক মাস ধরে কাজ করছে, খসড়া নথি সম্পর্কে কথা বলার জন্য নাম প্রকাশ না করার শর্তে বেশ কয়েকটি ফেডারেল সূত্র বলেছে যে প্রশাসনে এত দেরি করে একটি ইও জারি করা কিছুটা নষ্ট প্রচেষ্টা বলে মনে হচ্ছে। . কর্মকর্তারা বলছেন যে এটি বিশেষত সরকার জুড়ে সাইবার নেতাদের টার্নওভারের বিষয়ে যা সাধারণত এই ধরনের প্রচেষ্টাকে চ্যাম্পিয়ন করবে।
“সাইবার নিরাপত্তার মতো জটিল বিষয়ে একটি নির্বাহী আদেশ জারি করার সম্পূর্ণ ভিত্তি এবং রাজনৈতিক ও নীতির প্রতি সামান্য বা না করে নির্দিষ্ট কার্যক্রম বাধ্যতামূলক করা। [environments] উদ্বেগজনক,” একজন ফেডারেল সাইবার কর্মকর্তা বলেছেন। “যখন প্রয়োজনীয় সিনিয়র ম্যানেজার এবং নীতিনির্ধারকরা তাদের চেয়ারে নেই, এমনকি নামও দেওয়া হয়নি, তখন কেউ কীভাবে সময়োপযোগী এবং অর্থবহ বাস্তবায়নের আশা করে? কিন্তু রাজনীতির বাইরে, যে পরিমাণ উত্তোলন করা প্রয়োজন, এবং টাইমলাইনগুলি অন্তর্ভুক্ত করে কার্যকরী অর্থপূর্ণ বাস্তবায়নকে অবাস্তব করে তোলে যে পরিমাণ সিনিয়র সাইবার ব্যক্তিরা আসছেন এবং যাচ্ছেন তার উপর ভিত্তি করে।”
আরেকটি ফেডারেল প্রযুক্তি নির্বাহী অনুরূপ উদ্বেগ হাইলাইট.
“এটি এমন নয় যে সেখানে কিছু ভাল জিনিস নেই, তবে আমাদের প্রশাসনের শেষের কাছাকাছি এটি করা উচিত নয়,” কর্মকর্তা বলেছিলেন।
এজেন্সি পর্যায়ের সাইবার আগের মতোই থাকবে
একই সময়ে, অন্যান্য ফেডারেল কর্মকর্তারা বিশ্বাস করেন যে সাইবার নিরাপত্তা এমন একটি নির্দলীয় সমস্যা যে পরবর্তী প্রশাসন খসড়া EO-এর উদ্দেশ্যগুলির অনেকগুলি, যদি সব না হয়, গ্রহণ করবে৷
“আমি মনে করি যদি এই [the Biden] প্রশাসন ভাবেনি আমরা এভাবে এগিয়ে যাব, তারা ইওকে মুক্তি দেবে না। আমি মনে করি তারা স্বীকার করে যে এটি প্রত্যেকের সময়ের অপচয় হবে,” ফেডারেল কর্মকর্তা বলেছেন। “সাইবারের ভবিষ্যৎ কেমন হবে এবং OMB এবং ট্রানজিশন টিমের লোকদের সাথে কথোপকথনের ক্ষেত্রে যে একটি বিষয় সামঞ্জস্যপূর্ণ ছিল সে সম্পর্কে শিল্পের দ্বারা আমাকে অনেক জিজ্ঞাসা করা হয়েছে: সাইবার, নীতিগতভাবে, একটি রাজনৈতিক বিষয় নয়৷ শূন্য বিশ্বাস থেকে দূরে সরে যাওয়া বা সরে যাওয়া কি যাচ্ছে? উত্তর হল না। আমরা যদি এই সত্যটি দেখি যে প্রথম ট্রাম্প প্রশাসন জেডটিএ কৌশল এবং পরিকল্পনা তৈরি করেছিল এবং বিডেন লোকেরা এটির সাথে একমত হয়েছিল, তবে নতুন ট্রাম্প প্রশাসনের পক্ষে জেডটিএকে ভুল বলাটা অদ্ভুত হবে কারণ অন্য প্রশাসন এটিকে স্পর্শ করেছিল।”
আধিকারিক যোগ করেছেন যে সল্ট টাইফুন এবং ট্রেজারি ডিপার্টমেন্ট হ্যাকের পরিপ্রেক্ষিতে সাইবার প্রবিধান সম্পর্কে নতুন প্রশাসনের সাথে অবশ্যই কিছু আকর্ষণীয় কথোপকথন হবে, তবে তারা এজেন্সি স্তরে কোনও আমূল পরিবর্তন আশা করে না।
কিছু ফেডারেল কর্মকর্তাদের জন্য, তবে, খসড়া EO-তে আমূল পরিবর্তন CISA PAC প্রোগ্রামকে বাধ্যতামূলক করে তুলবে। ক্রমাগত অ্যাক্সেস সক্ষমতার উদ্যোগ হল এন্ডপয়েন্ট সনাক্তকরণ এবং প্রতিক্রিয়া (EDR) সরঞ্জামগুলির রোলআউটের অংশ এবং ক্রমাগত হুমকি শিকার করার ক্ষমতা প্রদান করে।
OMB জুলাই মাসে তার বার্ষিক ফেডারেল ইনফরমেশন সিকিউরিটি মডার্নাইজেশন অ্যাক্ট (FISMA) এ রিপোর্ট করেছে কংগ্রেসে রিপোর্ট করুন যে 76টি সংস্থা কন্টিনিউয়াস ডায়াগনস্টিকস অ্যান্ড মিটিগেশন (CDM) প্রোগ্রামের আওতায় সমস্ত পরিচিত শেষ পয়েন্টগুলির অন্তত 80% থাকার মানদণ্ড পূরণ করেছে৷ এই 76টি সংস্থার মধ্যে, 36টি ক্রমাগত হুমকি শিকার কার্যক্রম সক্ষম করতে PAC সরঞ্জাম ব্যবহার করছে। CISA এখন 2021 সাল থেকে 54টি এজেন্সি জুড়ে 750,000 এরও বেশি EDR লাইসেন্স স্থাপন করেছে।
খসড়া EO বিশেষভাবে PAC-কে ডাকে না, তবে CISA, CIO এবং CISO কাউন্সিলকে এই ধরনের EDR সম্পর্কিত ক্ষমতা বিকাশের জন্য একসঙ্গে কাজ করতে হবে।
সরঞ্জামগুলি সক্ষম করবে:
- ফেডারেল বেসামরিক উদ্যোগ জুড়ে অভিনব সাইবার হুমকি এবং দুর্বলতাগুলির সময়মত শিকার এবং সনাক্তকরণ;
- সমন্বিত সাইবার প্রচারাভিযানের সনাক্তকরণ যা একই সাথে একাধিক এজেন্সিকে টার্গেট করে এবং ফেডারেল এন্টারপ্রাইজ জুড়ে পার্শ্ববর্তীভাবে চলে যায়; এবং
- তথ্য নিরাপত্তাকে হুমকির মুখে ফেলে এমন ঘটনা সম্পর্কে তথ্যের সংকলন ও বিশ্লেষণ সহ তথ্য নিরাপত্তা নীতি ও অনুশীলনের বিষয়ে সরকারব্যাপী প্রচেষ্টার সমন্বয়।
রাষ্ট্রপতি EO জারি করার 180 দিনের মধ্যে, CISA এবং কাউন্সিলগুলিকে অপারেশনের একটি ধারণা জারি করতে হবে যাতে অত্যন্ত সংবেদনশীল এজেন্সি ডেটার জন্য নির্দিষ্ট সুরক্ষা অন্তর্ভুক্ত করা উচিত। এটি ডিভাইসগুলি থেকে টেলিমেট্রি ডেটা সরবরাহ করার জন্য বিচার বিভাগের জন্য নির্দিষ্ট ব্যবহারের ক্ষেত্রে চিহ্নিত করা এবং মোকাবেলা করা উচিত, তবে CISA-কে তাদের সরাসরি অ্যাক্সেস দেবে না।
কিছু সংস্থার উদ্বেগ আছে
খসড়া EO-এর এই বিভাগ সম্পর্কে একটি বড় উদ্বেগ, বেশ কয়েকটি সূত্র অনুসারে, CISA-কে এজেন্সি নেটওয়ার্ক এবং ডিভাইসগুলিতে গভীর অ্যাক্সেস দেওয়ার বিষয়ে ছিল। PAC সরঞ্জামগুলি আজকে যা করে এবং এই EO-এর অধীনে তারা যা করবে তার মধ্যে বড় পার্থক্য হল তারা CISA-কে আক্রমণের শিকার হতে পারে এমন কোনও নেটওয়ার্ক বা ডিভাইস বন্ধ করার ক্ষমতা দেবে৷
“সিআইওরা প্রতিদিন ঝুঁকি গ্রহণ করে। তারা ঝুঁকি পরিচালনা করে এবং পরিমাপ করে যা তারা গ্রহণ করতে ইচ্ছুক, কিন্তু সেই স্তরের বিশদ, CISA তাদের ঝুঁকির মাত্রা বোঝার জন্য প্রতিটি সংস্থার জন্য প্রচুর পরিমাণে কর্মী বাড়াতে হবে। আমি চাই না যে সিআইএসএ এমন কিছুতে প্লাগ টানুক যা তারা বুঝতে পারে না যে এটি করার পরিণতি কী, “একজন প্রযুক্তি নির্বাহী বলেছেন। “আমি মনে করি এই বিষয়ে আমার যে উদ্বেগ রয়েছে তা হল এটি আরও একটি উপায় যা CISA এটি কতটা গুরুত্বপূর্ণ তা ন্যায্যতা এবং শক্তিশালী করার চেষ্টা করছে। আমাকে ভুল বুঝবেন না, আমি CISA-এর সাথে আমাদের সম্পর্ককে মূল্য দিই এবং কোনো সমস্যা হলে তারা আমাদের যে বেনামি দেয় তা আমি পছন্দ করি। কিন্তু আমার উদ্বেগ যদি তারা আমার পরিবেশে থাকে তবে তারা প্রভাব বা পরিবেশ না বুঝেই আমার সংস্থার পক্ষ থেকে উত্তর দেওয়া শুরু করবে। কি হবে যদি CISA আমার নেটওয়ার্ক বা ডিভাইসগুলি পরিচালনা ও নিরীক্ষণ করে এবং তারা এমন সিদ্ধান্ত নেয় যা আমার মিশন সরবরাহ করার ক্ষমতাকে প্রভাবিত করতে পারে?
PAC-এর সাথে পরিচিত একটি শিল্প সূত্র জানিয়েছে যে বিচার বিভাগ CISA-এর ক্রমাগত অ্যাক্সেসের বিরুদ্ধে কঠোরতম পদক্ষেপ নিচ্ছে। সূত্রটি বলেছে যে DoJ একটি “ভারী হিটার” যে তারা এই পদ্ধতিতে পরিবর্তন করতে বাধ্য করতে পারে।
“কিছু সিআইও এবং সিআইএসও মনে করে যে তাদের পরিচালনা করার জন্য যথেষ্ট ঝুঁকি রয়েছে এবং এটি এটিকে বাড়িয়ে দেবে,” সূত্রটি বলেছে। “পিএসি একটি সেন্সর হতে পারে যাতে সিআইএসএকে সতর্ক করা যায় যে খারাপ কিছু ঘটছে। যদি তারা এইভাবে এটি ব্যবহার করতে চায়, CISA-এর এজেন্সি ডিভাইসগুলিতে আরও কর্তৃপক্ষের প্রয়োজন হবে এবং এটিই DoJ নিয়ে উদ্বিগ্ন। সেন্সরের কতটা সক্ষমতা থাকবে সে সম্পর্কে এটি একটি চলমান আলোচনা হয়েছে।”
অন্য একটি সূত্র বলেছে যে সঠিক শাসন, নীতি এবং তত্ত্বাবধানের সাথে, উন্নত হুমকি শিকার সরঞ্জামগুলির জন্য সমর্থন অনেক সংস্থা জুড়ে শক্তিশালী হবে।
“অধিকাংশ সিআইএসও চোখ এবং ক্ষমতার আরেকটি সেটকে স্বাগত জানাবে। বিশাল সংখ্যাগরিষ্ঠ বোর্ডে রয়েছে এবং বলে যে আমরা যা পেতে পারি সব সাহায্য নেব। এটি বিশেষ করে সত্য যদি সিআইএসএ আরও সংস্থান নিয়ে আসে,” অন্য এজেন্সি প্রযুক্তি কর্মকর্তা বলেছেন। “একটি ভোকাল সংখ্যালঘু রয়েছে যাদের উদ্বেগ রয়েছে। এর কিছু অংশ ডেটা অ্যাক্সেসকে ঘিরে, বিশেষ করে পরিসংখ্যানগত সম্প্রদায়ের মধ্যে যেখানে ডেটার নির্দিষ্ট সুরক্ষা রয়েছে। কিছু লোক চায় না যে CISA সেই সাইবার ডেটা দেখার জন্য কার্টে ব্লাঞ্চে অ্যাক্সেস করুক।”
সিওও প্রচেষ্টার নেতৃত্ব দেবে CISA
খসড়া EO-এর জন্য CISA এবং CIO/CISO কাউন্সিলগুলিকে তাদের EDR সরঞ্জামগুলি অ্যাক্সেস করার আগে CISA-এর জন্য এজেন্সিগুলিকে অবহিত করার জন্য একটি প্রক্রিয়া পরিচালনার ধারণার অংশ হিসাবে বিকাশ করতে হবে। নথিতে উচ্চ-স্তরের প্রযুক্তিগত এবং নীতি নিয়ন্ত্রণের প্রয়োজনীয়তাগুলিকে এজেন্সি ইডিআর সমাধানগুলিতে CISA অ্যাক্সেস পরিচালনা করার জন্য অন্তর্ভুক্ত করতে হবে যা ন্যূনতম বিশেষাধিকার অ্যাক্সেস এবং দায়িত্বের পৃথকীকরণ সম্পর্কিত সাইবার মান পূরণ করে।
“যদি আমরা কাউন্সিল প্রক্রিয়ার মাধ্যমে যা নির্ধারণ করা হয়েছে এবং কাজ করা হয়েছে তা অনুসরণ করি, ব্যস্ততার নিয়ম তৈরি করি এবং প্ল্যাটফর্মটি সুরক্ষিত হয়, আমি মনে করি আমরা সবচেয়ে বেশি কিছু পেতে পারি, যদি না হয়, সব না হলে, আমরা এই পদ্ধতিতে স্বাচ্ছন্দ্য বোধ করতে পারি,” প্রযুক্তি কর্মকর্তা বলেছেন “ছয় মাস আগে, আমি বলেছিলাম যে সংখ্যাগরিষ্ঠদের উদ্বেগ ছিল, কিন্তু আমি মনে করি আমরা ভালো হয়ে গেছি এবং সিআইএসএ ব্রিজ না পুড়িয়ে সেখানে যেতে পারে।”
আধিকারিক যোগ করেছেন যে CISA এর খ্যাতি গত কয়েক বছরে এটি কীভাবে সহায়তা করছে এবং পরিষেবা সরবরাহ করছে তার পরিপ্রেক্ষিতে উন্নতি অব্যাহত রয়েছে। এজেন্সিগুলি এখনও এজেন্সির উপর সম্পূর্ণ আস্থা রাখতে সতর্ক হতে পারে।
“কখনও কখনও আমরা এমন কিছু সরঞ্জাম ব্যবহার করার জন্য চাপ পাই যেগুলি সেরা নাও হতে পারে। আমাদের সেই পদ্ধতিকে টুকরো টুকরো করতে হবে যা ব্যবহার করার জন্য আমরা অত্যন্ত উত্সাহিত, “অন্য একজন কর্মকর্তা বলেছিলেন। “আমার অনুরোধ হবে এটির জীবনচক্রের জন্য অর্থায়ন করা, শুধু আমাদের বীজের টাকা দেওয়া নয়। আমি এও চাই যে আমাদের সরকার জুড়ে আরও অর্কেস্ট্রেশন এবং সহযোগিতা থাকুক যাতে এমন পরিস্থিতিতে আটকে না যায় যে আমাদের এই সরঞ্জামগুলিকে আমাদের অ-সমজাতীয় পরিবেশে অন্তর্ভুক্ত করতে হবে।”
খসড়া EO-এর আরেকটি মূল অধ্যায় হল OMB-এর জন্য আগামী তিন বছরে সার্কুলার A-130 সংশোধন করার জন্য প্রয়োজনীয়তা কম প্রেসক্রিপটিভ এবং আধুনিক সাইবার সিকিউরিটি অনুশীলনগুলি গ্রহণে আরও বেশি মনোযোগী হতে হবে। OMB সর্বশেষ 2016 সালে A-130 আপডেট করেছে এবং সাইবার নিরাপত্তা এবং আইটি নীতি আপডেটের বিস্তৃত পরিসরে আরও ঝুঁকি-ভিত্তিক পদ্ধতি অন্তর্ভুক্ত করেছে।
খসড়া EO বলে যে পুনর্লিখন করা উচিত:
- এজেন্সি সাইবারসিকিউরিটি তথ্য আদান-প্রদান এবং বিনিময়, এন্টারপ্রাইজের দৃশ্যমানতা এবং এজেন্সি CISO দ্বারা এন্টারপ্রাইজওয়াইড সাইবারসিকিউরিটি প্রোগ্রামের জন্য জবাবদিহিতার জন্য প্রত্যাশার রূপরেখা;
- OMB সার্কুলার A-130 সংশোধন করুন মূল ক্ষেত্রগুলিতে কম প্রযুক্তিগতভাবে নির্দেশমূলক হতে, যেখানে উপযুক্ত, ফেডারেল সিস্টেম জুড়ে বিকশিত সাইবার নিরাপত্তার সর্বোত্তম অনুশীলন গ্রহণকে আরও স্পষ্টভাবে প্রচার করতে, শূন্য বিশ্বাসের আর্কিটেকচারে স্থানান্তর এবং EDR ক্ষমতার মতো সমালোচনামূলক উপাদানগুলির বাস্তবায়ন অন্তর্ভুক্ত করতে, এনক্রিপশন, নেটওয়ার্ক সেগমেন্টেশন এবং ফিশিং প্রতিরোধী মাল্টি-ফ্যাক্টর প্রমাণীকরণ; এবং
- আইটি বিক্রেতা এবং পরিষেবাগুলির ঘনত্ব দ্বারা উপস্থাপিত মিশনের প্রয়োজনীয় ফাংশনগুলির ঝুঁকিগুলিকে কীভাবে চিহ্নিত করা, মূল্যায়ন করা, প্রতিক্রিয়া জানানো এবং হ্রাস করা উচিত তা সম্বোধন করুন৷
খসড়া EO এছাড়াও ক্লাউড পরিষেবার নিরাপত্তা মোকাবেলা করার চেষ্টা করছে.
এটি ন্যাশনাল ইনস্টিটিউট অফ স্ট্যান্ডার্ডস অ্যান্ড টেকনোলজি, সিআইএসএ এবং জেনারেল সার্ভিসেস অ্যাডমিনিস্ট্রেশনকে ক্লাউড পরিষেবা সরবরাহকারীদের দ্বারা ব্যবহৃত অ্যাক্সেস টোকেন এবং ক্রিপ্টোগ্রাফিক কীগুলির নিরাপদ ব্যবস্থাপনার জন্য নির্দেশিকা বিকাশের জন্য রাষ্ট্রপতি ইও জারি করার 270 দিনের মধ্যে আহ্বান জানায়।
তারপর, সেই প্রকাশনার 60 দিনের মধ্যে, CISA, NIST এবং GSA-এর ফেডারেল রিস্ক অথরাইজেশন ম্যানেজমেন্ট প্রোগ্রাম (FedRAMP) এই নতুন নির্দেশিকাগুলি অন্তর্ভুক্ত করার জন্য ক্লাউড নিরাপত্তা প্রোগ্রামের প্রয়োজনীয়তা আপডেট করবে।
অবশেষে, OMB, NIST, CISA এবং FedRAMP এর সাথে কাজ করে, বেসামরিক সংস্থাগুলির জন্য একটি নীতি জারি করবে যাতে ক্লাউড পরিষেবা দ্বারা ব্যবহৃত অ্যাক্সেস টোকেন এবং ক্রিপ্টোগ্রাফিক কীগুলির জন্য হার্ডওয়্যার সুরক্ষা মডিউল, বিশ্বস্ত কার্যকরী পরিবেশ এবং অন্যান্য বিচ্ছিন্নতা প্রযুক্তিগুলির সুরক্ষা এবং পরিচালনার বিষয়ে সর্বোত্তম অনুশীলনগুলি গ্রহণ করা যায়৷ প্রদানকারী
কপিরাইট © 2025 ফেডারেল নিউজ নেটওয়ার্ক। সর্বস্বত্ব সংরক্ষিত এই ওয়েবসাইটটি ইউরোপীয় অর্থনৈতিক এলাকার মধ্যে অবস্থিত ব্যবহারকারীদের উদ্দেশ্যে নয়।