สถาบันเพื่อการคุ้มครองโครงสร้างพื้นฐานสารสนเทศ

สถาบันเพื่อการปกป้องโครงสร้างพื้นฐานข้อมูล (I3P) เป็นกลุ่มสถาบันความมั่นคงทางไซเบอร์ระดับชาติ ซึ่งรวมถึงศูนย์วิจัยทางวิชาการ ห้องปฏิบัติการ ของรัฐบาลกลางสหรัฐฯและองค์กรไม่แสวงหาผลกำไร ซึ่งทั้งหมดนี้มีความเชี่ยวชาญด้าน การวิจัยและพัฒนา (R&D) ความมั่นคงทางไซเบอร์ที่เป็นที่ยอมรับอย่างกว้างขวางมายาวนานI3P อยู่ภายใต้การบริหารจัดการของมหาวิทยาลัยจอร์จ วอชิงตันซึ่งมีเจ้าหน้าที่ฝ่ายบริหารจำนวนเล็กน้อยที่ดูแลและช่วยกำกับกิจกรรมของกลุ่มสถาบัน^{[ 1 ]}

I3P ประสานงานและให้ทุนสนับสนุนการวิจัยด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับการปกป้องโครงสร้างพื้นฐานที่สำคัญ และจัดการประชุมเชิงปฏิบัติการที่มีผลกระทบสูงซึ่งรวบรวมผู้นำจากทั้งภาครัฐและเอกชน^{[ 2 ] [ 3 ]} I3P นำมุมมองแบบสหวิทยาการและสหสถาบันมาใช้กับปัญหาที่ซับซ้อนและยากลำบาก และทำงานร่วมกับผู้มีส่วนได้ส่วนเสียในการแสวงหาแนวทางแก้ไข นับตั้งแต่ก่อตั้งในปี 2545 ^{[ 4 ]}นักวิจัยกว่า 100 คนจากหลากหลายสาขาวิชาและภูมิหลังได้ทำงานร่วมกันเพื่อทำความเข้าใจและลดความเสี่ยงที่สำคัญในด้านความปลอดภัยทางไซเบอร์ให้ดียิ่งขึ้น

I3P ถือกำเนิดขึ้นหลังจากการประเมินของรัฐบาลหลายครั้งเกี่ยว กับความเสี่ยงที่ โครงสร้างพื้นฐานข้อมูลของ สหรัฐฯ จะล้มเหลวอย่างร้ายแรง การศึกษาครั้งแรกซึ่งตีพิมพ์ในปี 1998 โดยสภาที่ปรึกษาด้านวิทยาศาสตร์และเทคโนโลยีของประธานาธิบดีสหรัฐฯ (PCAST) แนะนำให้จัดตั้งองค์กรที่ไม่ใช่ภาครัฐเพื่อจัดการกับปัญหาความมั่นคงทางไซเบอร์ของประเทศ การศึกษาต่อมา—โดยสถาบันวิเคราะห์การป้องกันประเทศ ตลอดจนเอกสารไวท์เปเปอร์ที่จัดทำร่วมกันโดยสภาความมั่นคงแห่งชาติและสำนักงานนโยบายวิทยาศาสตร์และเทคโนโลยี—เห็นด้วยกับการประเมินของ PCAST ​​โดยยืนยันถึงความจำเป็นขององค์กรที่อุทิศตนเพื่อปกป้องโครงสร้างพื้นฐานที่สำคัญของประเทศ^{[ 4 ]}

ในปี พ.ศ. 2545 I3P ก่อตั้งขึ้นที่วิทยาลัยดาร์ทมัธโดยได้รับเงินสนับสนุนจากรัฐบาลกลาง^{[ 2 ]}มาร์ติน ไวบอร์น ดำรงตำแหน่งประธาน I3P ตั้งแต่ปี พ.ศ. 2546 ถึง พ.ศ. 2558 นับตั้งแต่เริ่มก่อตั้ง I3P ได้ดำเนินการดังต่อไปนี้:

• ประสานงานโครงการวิจัยและพัฒนาด้านความมั่นคงทางไซเบอร์ระดับชาติ
• สร้างสะพานเชื่อมข้อมูลและการวิจัยระหว่างผู้มีส่วนได้ส่วนเสียจากภาควิชาการ อุตสาหกรรม และภาครัฐ
• พัฒนาและส่งมอบเทคโนโลยีเพื่อแก้ไขช่องโหว่ต่างๆ มากมาย

เงินทุนสำหรับ I3P มาจากแหล่งต่างๆ รวมถึงกระทรวงความมั่นคงแห่งชาติ (DHS) สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) และมูลนิธิวิทยาศาสตร์แห่งชาติ (NSF) ^{[ 5 ]}

กลุ่ม I3P ประกอบด้วยศูนย์วิจัยทางวิชาการ 18 แห่ง ห้องปฏิบัติการระดับชาติ 5 แห่ง และองค์กรวิจัยที่ไม่แสวงหาผลกำไร 3 แห่ง^{[ 6 ]}

• มหาวิทยาลัยบิงแฮมตัน
• มหาวิทยาลัยคาร์เนกีเมลลอน วิทยาลัยนโยบายสาธารณะและการจัดการ เอช. จอห์น ไฮนซ์ ที่ 3
• มหาวิทยาลัยคาร์เนกีเมลลอน สถาบันวิศวกรรมซอฟต์แวร์
• วิทยาลัยดาร์ทมัธ
• มหาวิทยาลัยจอร์จ เมสัน
• มหาวิทยาลัยจอร์จ วอชิงตัน
• สถาบันเทคโนโลยีจอร์เจีย
• ห้องปฏิบัติการแห่งชาติไอดาโฮ
• มหาวิทยาลัยอินเดียนา
• มหาวิทยาลัยจอห์นส์ ฮอปกินส์
• ห้องปฏิบัติการแห่งชาติลอว์เรนซ์เบิร์กลีย์
• บริษัท MITRE
• มหาวิทยาลัยนิวยอร์ก
• ห้องปฏิบัติการแห่งชาติโอ๊คริดจ์
• ห้องปฏิบัติการแห่งชาติแปซิฟิกตะวันตกเฉียงเหนือ
• มหาวิทยาลัยเพอร์ดู
• บริษัท แรนด์ คอร์ปอเรชั่น
• ห้องปฏิบัติการแห่งชาติแซนเดีย
• เอสไอไอ อินเตอร์เนชั่นแนล
• มหาวิทยาลัยแคลิฟอร์เนีย เบิร์กลีย์
• มหาวิทยาลัยแคลิฟอร์เนีย เดวิส
• มหาวิทยาลัยไอดาโฮ
• มหาวิทยาลัยอิลลินอยส์
• มหาวิทยาลัยแมสซาชูเซตส์ แอมเฮิร์สต์
• มหาวิทยาลัยทัลซา
• มหาวิทยาลัยเวอร์จิเนีย

สถาบันสมาชิกแต่ละแห่งจะแต่งตั้งตัวแทนหลักและตัวแทนรองเพื่อเข้าร่วมการประชุมกลุ่มพันธมิตรเป็นประจำ^{[ 7 ]}

I3P ได้ร่วมมือกับระบบวิทยาลัยชุมชนแห่งรัฐนิวแฮมป์เชียร์ (CCSNH) ในโครงการด้านการศึกษา “ความปลอดภัยทางไซเบอร์ในอุตสาหกรรมการดูแลสุขภาพ: การปรับปรุงและการนำหลักสูตรไปใช้” โดยได้รับการสนับสนุนจาก โครงการการศึกษาด้านเทคโนโลยีขั้นสูง (ATE) ของ มูลนิธิวิทยาศาสตร์แห่งชาติ (NSF) โครงการนี้มีเป้าหมายเพื่อผลิตช่างเทคนิคที่มีคุณสมบัติเหมาะสมเพื่อตอบสนองความต้องการด้านเทคโนโลยีสารสนเทศทางการแพทย์ในพื้นที่ชนบททางตอนเหนือของนิวอิงแลนด์

สถาบัน I3P ได้ริเริ่มโครงการชื่อ "การพัฒนาทักษะ พลวัต และประสิทธิภาพของ CSIRT" โครงการนี้ได้รับการสนับสนุนด้านเงินทุนจาก สำนักวิทยาศาสตร์และเทคโนโลยีของ กระทรวงความมั่นคงแห่งมาตุภูมิสหรัฐฯโดยมีเป้าหมายเพื่อสำรวจว่าอะไรคือปัจจัยที่ทำให้ CSIRT มีประสิทธิภาพและยั่งยืน ผลลัพธ์ที่ได้จะช่วยให้องค์กรต่างๆ มั่นใจได้ว่า CSIRT ของตนจะสามารถใช้ศักยภาพสูงสุดและกลายเป็นเครื่องมืออันทรงคุณค่าในการรักษาความปลอดภัยโครงสร้างพื้นฐานทางไซเบอร์ ทีมงานสหวิทยาการที่ทำงานในโครงการใหม่นี้จะประกอบด้วยนักวิจัยด้านความปลอดภัยทางไซเบอร์และธุรกิจจากวิทยาลัยดาร์ทมัธ นักจิตวิทยาองค์กรจากมหาวิทยาลัยจอร์จ เมสัน และนักวิจัยและผู้ปฏิบัติงานจากฮิวเลตต์-แพคการ์ด

ในเดือนเมษายน 2554 I3P ได้จัดการประชุมเชิงปฏิบัติการที่ได้รับการสนับสนุนจาก NIST เพื่อตรวจสอบความท้าทายในการบูรณาการความปลอดภัยและการใช้งานง่ายเข้ากับการออกแบบและการพัฒนาซอฟต์แวร์ หนึ่งในข้อเสนอแนะหลายประการของการประชุมเชิงปฏิบัติการคือการพัฒนาตัวอย่างกรณีศึกษาเพื่อแสดงให้ผู้พัฒนาซอฟต์แวร์เห็นว่าความปลอดภัยที่ใช้งานง่ายได้รับการบูรณาการเข้ากับกระบวนการพัฒนาซอฟต์แวร์ขององค์กรอย่างไร ด้วยเหตุนี้ I3P จึงได้เริ่มโครงการ Usable Security Project โดยใช้ระเบียบวิธีศึกษาที่เป็นมาตรฐานเดียวกัน โครงการนี้จะบันทึกความปลอดภัยที่ใช้งานได้ในสามองค์กรที่แตกต่างกัน ผลลัพธ์จะถูกนำมาใช้เพื่อทำความเข้าใจว่าปัญหาด้านความปลอดภัยที่ใช้งานง่ายที่สำคัญได้รับการแก้ไขอย่างไร เพื่อสอนผู้พัฒนาเกี่ยวกับวิธีแก้ปัญหา และเพื่อให้ผู้วิจัยคนอื่นๆ สามารถทำการศึกษาเปรียบเทียบได้

ปัจจุบันโครงสร้างพื้นฐานที่สำคัญของประเทศกำลังเผชิญกับภัยคุกคามจากการโจมตีทางไซเบอร์อย่างที่ไม่เคยเป็นมาก่อน การตอบสนองหลักต่อภัยคุกคามทางไซเบอร์ที่ประเทศกำลังเผชิญอยู่คือการเพิ่มการแบ่งปันข้อมูล โดยปกติแล้วหน่วยงานต่างๆ จะจัดเก็บข้อมูลไว้ในฐานข้อมูล และข้อมูลนั้นจะไม่สามารถเข้าถึงได้ง่ายสำหรับผู้อื่นที่อาจได้รับประโยชน์จากมัน รัฐบาลโอบามาได้ชี้แจงอย่างชัดเจนว่ากลยุทธ์นี้ใช้ไม่ได้ผล – ข้อมูลต้องสามารถเข้าถึงได้ง่ายสำหรับการแบ่งปัน วิธีที่เหมาะสมที่สุดคือการใช้ระบบคลาวด์ ซึ่งหน่วยงานภาครัฐหลายแห่งจะจัดเก็บข้อมูลร่วมกัน และข้อมูลนั้นจะสามารถเข้าถึงได้โดยทุกคนที่มีสิทธิ์เข้าถึง โมเดลนี้มีข้อดีมากมาย – แต่มีความเสี่ยงอะไรบ้าง? นักวิจัยจาก RAND และมหาวิทยาลัยเวอร์จิเนียจึงรับความท้าทายในการหาคำตอบของคำถามนั้นในโครงการแบ่งปันข้อมูลของเรา

นักวิจัยจากสถาบันการศึกษา I3P ทั้งห้าแห่งกำลังดำเนินการวิจัยอย่างครอบคลุมเพื่อทำความเข้าใจความเป็นส่วนตัวในยุคดิจิทัล โครงการวิจัยนี้จะพิจารณาความเป็นส่วนตัวจากหลากหลายสาขาวิชาตลอดระยะเวลา 18 เดือน โดยจะตรวจสอบบทบาทของพฤติกรรมมนุษย์ การเปิดเผยข้อมูล และการแสดงออกของนโยบายที่มีต่อวิธีที่ผู้คนเข้าใจและปกป้องความเป็นส่วนตัวของตน ^{[ 8 ]}

โครงการนี้นำมุมมองด้านวิทยาศาสตร์พฤติกรรมมาใช้กับความปลอดภัย โดยตรวจสอบปฏิสัมพันธ์ระหว่างมนุษย์กับคอมพิวเตอร์ผ่านชุดการศึกษาเชิงประจักษ์ที่เข้มงวด โครงการสหวิทยาการนี้รวบรวมนักสังคมศาสตร์และ ผู้เชี่ยวชาญด้าน ความปลอดภัยของข้อมูล เข้าด้วยกัน เพื่ออธิบายความซับซ้อนของการรับรู้ ความคิด และอคติของมนุษย์ และผลกระทบเหล่านี้ต่อความปลอดภัยของคอมพิวเตอร์ เป้าหมายของโครงการคือการใช้ประโยชน์จากข้อมูลเชิงลึกใหม่เหล่านี้ในลักษณะที่สร้างระบบและกระบวนการที่ปลอดภัยยิ่งขึ้น^{[ 9 ]}

นักวิจัย I3P ในโครงการนี้ได้ตรวจสอบวิธีการวัดปริมาณความเสี่ยงทางไซเบอร์โดยการสำรวจศักยภาพของระบบการให้คะแนนแบบหลายปัจจัย ซึ่งคล้ายคลึงกับการให้คะแนนความเสี่ยงในภาคประกันภัย โดยรวมแล้ว งานนี้คำนึงถึงปัจจัยสำคัญสองประการของความเสี่ยงทางไซเบอร์ ได้แก่ เทคโนโลยีที่ลดโอกาสในการโจมตี และความสามารถภายในในการตอบสนองต่อการโจมตีที่ประสบความสำเร็จหรือที่อาจเกิดขึ้น^{[ 10 ]}

โครงการนี้ต่อยอดจากโครงการ I3P ก่อนหน้านี้ในด้านความปลอดภัยระบบควบคุมเพื่อพัฒนากลยุทธ์ในการเพิ่มความยืดหยุ่นของระบบควบคุมและช่วยให้สามารถกู้คืนได้อย่างรวดเร็วในกรณีที่การโจมตีทางไซเบอร์ประสบความสำเร็จ^{[ 11 ]}

โครงการนี้ ซึ่งเป็นผลสืบเนื่องมาจากการศึกษาก่อนหน้านี้เกี่ยวกับเศรษฐศาสตร์ด้านความปลอดภัย กล่าวถึงความท้าทายในการตัดสินใจขององค์กรเมื่อต้องลงทุนในด้านความปลอดภัยทางไซเบอร์ โดยพยายามตอบคำถามต่างๆ เช่น “ต้องใช้มากแค่ไหน?” “มากแค่ไหนถึงจะเพียงพอ?” “และจะวัดผลตอบแทนจากการลงทุนได้อย่างไร?” การศึกษานี้รวมถึงการตรวจสอบกลยุทธ์การลงทุน รวมถึงความเสี่ยงและช่องโหว่ ความสัมพันธ์ระหว่างห่วงโซ่อุปทาน และการแก้ไขทางเทคโนโลยี^{[ 12 ]}

โครงการนี้มีขอบเขตครอบคลุมหลายสาขาวิชา โดยมุ่งเน้นการรักษาความปลอดภัยของข้อมูลประจำตัวดิจิทัล โดยเน้นการพัฒนาแนวทางทางเทคนิคสำหรับการจัดการข้อมูลประจำตัวดิจิทัลที่ตอบสนองความต้องการทางการเมือง สังคม และกฎหมายด้วย งานนี้มุ่งเน้นไปที่สองภาคส่วนที่ความเป็นส่วนตัวและการปกป้องข้อมูลประจำตัวมีความสำคัญอย่างยิ่ง ได้แก่ บริการทางการเงินและการดูแลสุขภาพ^{[ 13 ]}

โครงการนี้กล่าวถึงความจำเป็นในการตรวจจับ ตรวจสอบ และป้องกันการโจมตีจากบุคคลภายใน ซึ่งอาจก่อให้เกิดอันตรายร้ายแรงต่อองค์กร นักวิจัยได้ทำการวิเคราะห์ภัยคุกคามจากบุคคลภายในอย่างเป็นระบบ ซึ่งกล่าวถึงความท้าทายทางเทคนิค แต่ยังคำนึงถึงมิติทางจริยธรรม กฎหมาย และเศรษฐกิจด้วย^{[ 14 ]}

I3P ได้ส่งรายงานชื่อ National Cyber ​​Security Research and Development Challenges: An Industry, Academic and Government Perspective ^{[ 15 ]}ให้กับวุฒิสมาชิกสหรัฐฯJoseph LiebermanและSusan Collinsเมื่อวันที่ 18 กุมภาพันธ์ 2552 รายงานนี้สะท้อนถึงผลการค้นพบจากการประชุมสามครั้งที่ I3P จัดขึ้นในปี 2551 ^{[ 16 ] [ 17 ]}ซึ่งรวบรวมผู้เชี่ยวชาญระดับสูงจากภาคอุตสาหกรรม รัฐบาล และสถาบันการศึกษา เพื่อระบุโอกาสในการวิจัยและพัฒนาที่จะช่วยพัฒนาการวิจัยด้านความมั่นคงปลอดภัยทางไซเบอร์ในอีก 5-10 ปีข้างหน้า รายงานนี้มีข้อเสนอแนะเฉพาะสำหรับการวิจัยด้านเทคโนโลยีและนโยบาย ซึ่งสะท้อนถึงข้อมูลจากผู้เข้าร่วมและข้อกังวลของทั้งภาครัฐและภาคเอกชน

I3P เชื่อมต่อและมีส่วนร่วมกับผู้มีส่วนได้ส่วนเสียผ่านการประชุมเชิงปฏิบัติการและกิจกรรมเผยแพร่อื่นๆ ซึ่งมักจัดขึ้นร่วมกับองค์กรอื่นๆ การประชุมเชิงปฏิบัติการครอบคลุมหัวข้อต่างๆ มากมาย บางหัวข้อเกี่ยวข้องโดยตรงกับโครงการวิจัยของ I3P ในขณะที่บางหัวข้อมีจุดประสงค์เพื่อรวบรวมบุคคลที่เหมาะสมมาร่วมกันสำรวจความท้าทายพื้นฐานที่ยากเป็นพิเศษ เช่น วิศวกรรมระบบรักษาความปลอดภัยหรือการพัฒนาบุคลากร^{[ 18 ]}

I3P สนับสนุนโครงการทุนวิจัยหลังปริญญาเอกตั้งแต่ปี 2004 ถึง 2011 ซึ่งให้ทุนสนับสนุนการวิจัยเป็นเวลาหนึ่งปี ณ สถาบันสมาชิกของ I3P รางวัลที่มีการแข่งขันนี้จะมอบให้ตามคุณค่าของงานที่เสนอ ขอบเขตที่งานที่เสนอสำรวจแนวคิดที่สร้างสรรค์และเป็นต้นฉบับ และผลกระทบที่อาจเกิดขึ้นของหัวข้อต่อโครงสร้างพื้นฐานข้อมูลของสหรัฐอเมริกา ผู้สมัครที่มีศักยภาพคาดว่าจะกล่าวถึงพื้นที่หลักของการวิจัยด้านความปลอดภัยทางไซเบอร์ รวมถึงการคำนวณที่น่าเชื่อถือ การจัดการความปลอดภัยขององค์กร วิศวกรรมระบบที่ปลอดภัย การตอบสนองและการกู้คืนเครือข่าย การจัดการตัวตนและนิติวิทยาศาสตร์ การคำนวณไร้สายและเมตริก ตลอดจนมิติทางกฎหมาย นโยบาย และเศรษฐกิจของความปลอดภัย^{[ 3 ]}

• เว็บไซต์อย่างเป็นทางการ