สำนักงานการจัดการและงบประมาณต้องการทราบว่าจะต้องทำอย่างไรเพื่อทำให้เว็บไซต์สาธารณะของรัฐบาลกลางทุกแห่งมีความปลอดภัยมากขึ้นและรับรองความถูกต้องสำหรับพลเมืองและธุรกิจในร่างข้อเสนอ ที่เผยแพร่ในวันนี้ ทำเนียบขาวขอข้อมูลจากผู้เชี่ยวชาญภาครัฐและเอกชนเกี่ยวกับวิธีที่ดีที่สุดในการนำมาตรฐานที่เรียกว่า HTTP ที่ปลอดภัยไปใช้“HTTPS ตรวจสอบตัวตนของเว็บไซต์หรือบริการบนเว็บสำหรับไคลเอนต์ที่เชื่อมต่อ และเข้ารหัสข้อมูลเกือบ
ทั้งหมดที่ส่งระหว่างเว็บไซต์หรือบริการกับผู้ใช้ ข้อมูลที่ได้
รับการป้องกันรวมถึงคุกกี้ รายละเอียดตัวแทนผู้ใช้ เส้นทาง URL การส่งแบบฟอร์ม และพารามิเตอร์สตริงข้อความค้นหา HTTPS ได้รับการออกแบบมาเพื่อป้องกันไม่ให้ข้อมูลนี้ถูกอ่านหรือเปลี่ยนแปลงระหว่างการส่ง” OMB เขียนในการร้องขอความคิดเห็น “HTTPS รับประกันความสมบูรณ์ของการเชื่อมต่อระหว่างสองระบบเท่านั้น ไม่ใช่ตัวระบบเอง ไม่ได้ออกแบบมาเพื่อป้องกันเว็บเซิร์ฟเวอร์จากการถูกแฮ็กหรือบุกรุก หรือป้องกันเว็บเซอร์วิสจากการเปิดเผยข้อมูลผู้ใช้ระหว่างการทำงานตามปกติ”
ทำเนียบขาวย้ายเว็บไซต์เป็น HTTPS เมื่อต้นเดือนนี้ เช่นเดียวกับ Federal Trade Commission เมื่อวันที่ 6 มีนาคม
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
“ในขณะที่เราได้ให้บริการการขนส่งที่ปลอดภัยสำหรับโดเมน FTC ที่จัดการข้อมูลผู้บริโภคที่ละเอียดอ่อน เช่น ข้อมูลการร้องเรียนและการสมัครรับข้อมูลทางอีเมล ผู้บริโภคจะเรียกดูไซต์ทั้งหมดของเราอย่างเป็นส่วนตัวมากขึ้น และเบราว์เซอร์ของพวกเขาจะยืนยันตัวตนของเว็บไซต์ที่พวกเขาเข้าถึงโดยอัตโนมัติ กำลังเชื่อมต่อกัน — เป็นขั้นตอนสำคัญในการลดความพยายามในการแอบอ้างเป็น FTC” Ashkan Soltani หัวหน้านักเทคโนโลยีของ FTC
เขียนในบล็อกโพสต์ “การเข้ารหัสการขนส่งเป็นการป้องกันที่สำคัญต่อผู้ดักฟัง
และเป็นเรื่องของการสืบสวนก่อนหน้านี้ ซึ่งเรากล่าวหาว่าบริษัทต่างๆ ล้มเหลวในการปฏิบัติตามคำสัญญาด้านความปลอดภัยเมื่อรวบรวมข้อมูลส่วนบุคคล เป็นขั้นตอนที่สำคัญเมื่อเว็บไซต์หรือแอปรวบรวมข้อมูลส่วนบุคคล และเป็นแนวทางปฏิบัติที่ดีที่สุดแม้ว่าจะไม่ทำเช่นนั้นก็ตาม”
แต่ร่างข้อเสนอจาก OMB นั้นเป็นข้อตกลงที่ใหญ่กว่าการที่แต่ละหน่วยงานตัดสินใจเอง ทำเนียบขาวกล่าวว่าหน่วยงานหลายแห่งได้ย้าย ไปรักษาความปลอดภัย HTTP แล้วและต้องการเพิ่มการนำไปใช้
นั่นเป็นเหตุผลที่ OMB ขอข้อมูลสาธารณะร่างข้อเสนอต้องการให้หน่วยงานปรับใช้ HTTPS บนโดเมนของรัฐบาลกลางตามเกณฑ์เฉพาะเว็บไซต์และบริการที่พัฒนาขึ้นใหม่ในโดเมนหรือโดเมนย่อยของหน่วยงานรัฐบาลกลางทั้งหมดต้องปฏิบัติตามนโยบายนี้เมื่อเปิดตัว
สำหรับเว็บไซต์และบริการที่มีอยู่ หน่วยงานควรจัดลำดับความสำคัญของการปรับใช้โดยใช้การวิเคราะห์ตามความเสี่ยง บริการบนเว็บที่เกี่ยวข้องกับการแลกเปลี่ยนข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) โดยที่เนื้อหามีความละเอียดอ่อนอย่างชัดเจน หรือเนื้อหาได้รับการเข้าชมระดับสูงควรได้รับความสำคัญก่อน
หน่วยงานต้องทำให้เว็บไซต์และบริการที่มีอยู่ทั้งหมดสามารถเข้าถึงได้ผ่านการเชื่อมต่อที่ปลอดภัย HTTPS เท่านั้น ด้วย HTTP Strict Transport Security (HSTS) ภายในสองปี
แนะนำให้ใช้ HTTPS บนอินทราเน็ต แต่ไม่จำเป็นอย่างชัดเจน OMB กำหนดอินทราเน็ตเป็นเครือข่ายที่ไม่สามารถเข้าถึงได้ผ่านอินเทอร์เน็ตสาธารณะ
นอกจากนี้ OMB ต้องการความคิดเห็นเกี่ยวกับความท้าทายต่างๆ เช่น ประสิทธิภาพของไซต์และส่วนขยายการระบุชื่อเซิร์ฟเวอร์ ซึ่ง “ช่วยให้สามารถใช้ที่อยู่ IP ได้อย่างมีประสิทธิภาพมากขึ้นเมื่อให้บริการหลายโดเมน อย่างไรก็ตาม เทคโนโลยีเหล่านี้ไม่ได้รับการสนับสนุนโดยไคลเอนต์รุ่นเก่าบางรุ่น เจ้าของเว็บเซอร์วิสควรประเมินความเป็นไปได้ของการใช้เทคโนโลยีนี้เพื่อปรับปรุงประสิทธิภาพและประสิทธิผล” OMB เขียน
