NIST กำลังขอความคิดเห็นจากภาคอุตสาหกรรมเกี่ยวกับกรอบความปลอดภัยทางไซเบอร์ถัดไป

NIST กำลังขอความคิดเห็นจากภาคอุตสาหกรรมเกี่ยวกับกรอบความปลอดภัยทางไซเบอร์ถัดไป

ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับข้อมูลเสียงสัมภาษณ์ประจำวันของ Federal Drive  บนApple Podcast  หรือ  PodcastOneการเรียกร้องความคิดเห็นจาก National Institute for Standards and Technology ทำให้อุตสาหกรรมมีกำหนดเส้นตายในสัปดาห์หน้า NIST กำลังมองหาปฏิกิริยาต่อแนวคิดด้านความปลอดภัยทางไซเบอร์ของโครงสร้างพื้นฐานที่สำคัญ และอาจมีผลกระทบอย่างมากต่อบริษัทที่ทำธุรกิจกับรัฐบาล Federal Drive กับ Tom Teminได้รับเพิ่มเติมจากรองประธานบริหารด้านนโยบายที่ Professional Services Council, Stephanie Kostro

ทอม เทมิน:สเตฟานี่ ดีใจที่คุณกลับมา บอกเราว่า NIST

 กำลังมองหาอะไรเป็นพิเศษและอุตสาหกรรมมีปฏิกิริยาอย่างไรจากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร

สเตฟานี่ โคสโตร:ขอบคุณที่มีฉันอีกครั้งทอม NIST ออกคำขอความคิดเห็น ตามที่คุณระบุไว้ ระยะเวลาแสดงความคิดเห็นประมาณ 60 วัน และความคิดเห็นจะครบกำหนดในวันที่ 25 เมษายนในวันจันทร์หน้า และเป็นการขอความคิดเห็นที่น่าสนใจ มันต้องการคำตอบโดยละเอียด พวกเขากำลังอัปเดตสิ่งที่เรียกว่าเฟรมเวิร์กสำหรับปรับปรุงโครงสร้างพื้นฐานที่สำคัญ ความปลอดภัยทางไซเบอร์ และเราจะเรียกมันว่าเฟรมเวิร์ก เฟรมเวิร์กได้รับการอัปเดตครั้งล่าสุดในปี 2018 และในพื้นที่นี้ สิ่งต่างๆ มากมายสามารถเกิดขึ้นได้ คุณรู้ไหม คุณดูและไป โอ้ เพิ่งได้รับการอัปเดตครั้งล่าสุดเมื่อสี่ปีที่แล้ว แต่สามารถเกิดขึ้นได้มากมายในพื้นที่ไซเบอร์และภาคไอที และเมื่อเราดูสิ่งที่พวกเขาขอ พวกเขากำลังมองหาข้อมูล ความคิดเกี่ยวกับขั้นตอน เกี่ยวกับมาตรฐาน เกี่ยวกับเทคนิค และอะไรก็ตาม สิ่งนี้ทำให้ภาคส่วนเทคโนโลยีการบริการภาครัฐต้องตกตะลึงในแง่ของระดับความสนใจในการชั่งน้ำหนักในกรอบนี้ พวกเขายังขอข้อมูลจากอุตสาหกรรมพร้อมกันว่าควรจัดการกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในซัพพลายเชนอย่างไร และพวกเขาได้สร้างสิ่งที่พวกเขาเรียกว่า National Initiative for Improving Cybersecurity and Supply Chains ซึ่งควรร่วมมือกัน

ทอม ความกังวลที่ฉันมีเกี่ยวกับงานดีๆ ที่เกิดขึ้นนี้ก็คือ 

เรามีข้อมูลมากมายเกี่ยวกับความปลอดภัยทางไซเบอร์ กรอบงาน ความคิดริเริ่มเหล่านี้ สิ่งที่เรากำลังมองหา และเราจะส่ง PSC ความคิดเห็นเกี่ยวกับคำขอความคิดเห็นนี้ เป็นแนวทางที่ชัดเจนยิ่งขึ้นเกี่ยวกับสิ่งที่บริษัทที่ให้บริการภาครัฐควรทำในพื้นที่นี้หรือไม่ ตัวอย่างเช่น คุณมี DHS’s is cyber พยายามภายใต้ CISA, Cybersecurity and Infrastructure Security Agency ของพวกเขา, คุณมีกระบวนการรับรอง Cybersecurity Maturity Model ของ DoD และยังมีกระบวนการที่ดำเนินการโดยหน่วยงานจัดการสัญญากลาโหม ความคิดริเริ่มที่แตกต่างกันทั้งหมดเหล่านี้จำเป็นต้องได้รับการประสานกันจริงๆ และฉันสงสัยว่าความคิดเห็นของเราจะจัดการกับปัญหาของการประสานกันอย่างใกล้ชิด

Tom Temin:ดูเหมือนว่าจะมีองค์ประกอบสองอย่างโดยพื้นฐานแล้วในสิ่งที่ทุกคนกำลังทำอยู่ หนึ่งคือผู้ขาย ระบบความปลอดภัยทางไซเบอร์ การปกป้องข้อมูลที่สำคัญต่อพวกเขาและต่อรัฐบาล CUI และส่วนที่เหลือทั้งหมด จากนั้นมีคำถามเกี่ยวกับความปลอดภัยของสิ่งที่ซัพพลายเออร์กำลังส่งมอบ และส่วนใหญ่เป็นซอฟต์แวร์ และแม้ว่าจะเป็นฮาร์ดแวร์ แต่ก็มีซอฟต์แวร์จำนวนมากอยู่ในนั้น ดังนั้นพวกเขาจึงเกี่ยวข้องกับรายการวัสดุที่อยู่ในซอฟต์แวร์นั้น ความพยายามและโดเมนที่เกี่ยวข้องกันแต่แยกจากกันอย่างแท้จริง ซึ่งทั้งคู่ตั้งอยู่ในชุมชนผู้จำหน่าย นั่นเป็นวิธีที่ยุติธรรมหรือไม่?

สเตฟานี่ โคสโตร:มันเป็นวิธีที่ยุติธรรมที่จะใส่มัน และเมื่อคุณดูสิ่งต่างๆ เช่น กรอบงาน NIST บริษัทต่างๆ ก็จะดูและไปต่อ นี่คือกรอบงาน แต่เป็นสิ่งที่เราต้องปฏิบัติตามจริงหรือ เป็นรูปแบบการปฏิบัติตามข้อกำหนดหรือไม่? และคุณรู้ไหม เมื่อเราพิจารณาว่าเฟรมเวิร์กอาจให้อะไร คุณก็รู้ว่า มันคือความคิด มันคือขั้นตอน มันคือเรื่องแบบนั้น มีไว้เพื่อแจ้งบริษัทเกี่ยวกับสิ่งที่พวกเขาควรดู แต่บริษัทขนาดเล็กและขนาดกลางกำลังประสบปัญหาอย่างมาก เนื่องจากพวกเขาไม่มีทรัพยากรภายในที่จะปฏิบัติตามรูปแบบต่างๆ ของวิธีการโจมตีความปลอดภัยทางไซเบอร์ โดยเฉพาะอย่างยิ่งในห่วงโซ่อุปทาน เพราะเมื่อคุณคิดถึงจำนวนผู้รับเหมาหลักที่รัฐบาลมี คุณต้องคูณสิบเท่าด้วยจำนวนผู้รับเหมารายย่อยที่พวกเขามี และตรวจสอบให้แน่ใจว่าคุณมีการประเมินอย่างสมเหตุสมผลของสิ่งต่างๆ ที่อยู่ในรายการวัสดุของคุณ รายการสินค้าของคุณ ที่มาที่ไป มือใครบ้างที่เข้าถึงได้ในเวลาใดก็ตาม จริงๆ แล้ว ค่อนข้างเป็นปมที่จะคลี่คลาย ดังนั้นจากมุมมองของการปฏิบัติตามกฎระเบียบ สิ่งที่เรากำลังมองหาคือคำแนะนำที่ชัดเจนยิ่งขึ้นเกี่ยวกับสิ่งที่บริษัทต่างๆ ควรปฏิบัติอย่างแท้จริง เพื่อให้พวกเขาสามารถอุทิศทรัพยากรที่จำเป็นเพื่อให้สามารถทำงานร่วมกับรัฐบาลสหรัฐฯ ได้

Credit : ยูฟ่าสล็อต