สองสามปีที่ผ่านมาเต็มไปด้วยสิ่งที่ดูเหมือนเป็นการโจมตีทางไซเบอร์ที่มีชื่อเสียงนับไม่ถ้วน — SolarWinds และ Colonial Pipeline อยู่ในใจทันทีนอกจากนี้ หกอันดับแรกของการละเมิดที่เกิดขึ้นในสหรัฐอเมริกาและประเทศอื่นๆ ในช่วงหกเดือนแรกของปีนี้ และเราจะเห็นว่าการแฮ็ก การหลอกลวง การเจาะระบบ และแรนซัมแวร์เป็นบรรทัดฐาน ไม่ใช่ข้อยกเว้น แม้ว่ารัฐบาลสหรัฐฯ จะทำหน้าที่ของตนในการให้คำแนะนำผู้บริหารและสร้างกรอบการรักษาความปลอดภัยที่มีความหมายเพื่อต่อสู้กับภัยคุกคามใหม่ๆ
และต่อเนื่อง ความรับผิดชอบต้องตกอยู่กับภาคเอก
ชนในการปรับใช้ จัดการ และทบทวนแนวทางปฏิบัติที่ดีที่สุดด้านการรักษาความปลอดภัย หากเราต้องการนำหน้าอย่างต่อเนื่อง วิวัฒนาการของภัยคุกคามทางไซเบอร์
และไม่ใช่เพราะขาดความพยายามในส่วนของรัฐบาลกลาง Cybersecurity and Infrastructure Security Agency ก่อตั้งขึ้นในปี 2018 “เพื่อทำงานในภาครัฐและเอกชน ท้าทายวิธีการทำธุรกิจแบบดั้งเดิมโดยการมีส่วนร่วมกับรัฐบาล อุตสาหกรรม นักวิชาการ และพันธมิตรระหว่างประเทศ” แม้ว่าจะมีการสร้างความร่วมมือระหว่างภาคเอกชนและภาครัฐ แต่ก็ยังมีงานอีกมากที่ต้องทำเพื่อนำคำมั่นสัญญาของ CISA คำสั่งของผู้บริหาร และกรอบการทำงานให้บรรลุผลสำเร็จ
กรอบเป็นขั้นตอนแรก
เพื่อตอบสนองต่อการละเมิดครั้งใหญ่ในปี 2021 ที่กล่าวถึงข้างต้น คำสั่งผู้บริหารของทำเนียบขาวเรื่องการปรับปรุงความปลอดภัยทางไซเบอร์ของประเทศจึงออกเมื่อวันที่ 12 พฤษภาคม 2021 หมวดที่สี่ของ EO การปรับปรุงความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์ กำหนดให้สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ” ออกคำแนะนำที่ระบุแนวทางปฏิบัติที่เพิ่มความปลอดภัยให้กับห่วงโซ่อุปทานของซอฟต์แวร์” หนึ่งปีต่อมา ใน เดือนพฤษภาคม 2022 NIST ได้เผยแพร่เอกสารเผยแพร่พิเศษ 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizationsซึ่งเป็นส่วนหนึ่งของการตอบสนองต่อ EO แต่สิ่งนี้ทำให้เกิดคำถามสำคัญ: กรอบความปลอดภัยทางไซเบอร์อื่นเป็นคำตอบสำหรับปัญหานี้จริงหรือ
DoD Cloud Exchange ของ Federal News Network: จากองค์กรสู่ความได้เปรียบทางยุทธวิธี — ค้นพบว่ากระทรวงกลาโหมและหน่วยบริการทางทหารมีความตั้งใจที่จะยกระดับการใช้เทคโนโลยีคลาวด์อย่างไร
SP 800-161, Rev. 1 ของ NISTซึ่งเป็นการอัปเดตจากรีลีสดั้งเดิมในปี 2015
นำเสนอพิมพ์เขียวโดยละเอียดสำหรับวิธีการพัฒนาและใช้งาน Cybersecurity Supply Chain Risk Management Program (C-SCRM) มีเทมเพลต เวิร์กโฟลว์ และแบบสอบถาม และต้องการให้เจ้าหน้าที่หน่วยงานพัฒนากลยุทธ์ที่รับรองความรับผิดชอบโดยเจ้าหน้าที่ของรัฐบาลกลาง นอกจากนี้ยังมีสถานการณ์ตัวอย่างและรายการตรวจสอบสิ่งที่ต้องทำเพื่อจัดการกับภัยคุกคามประเภทต่างๆ
NIST SP 800-161 Rev. 1 เน้นย้ำถึงความจำเป็นที่องค์กรจะต้องดำเนินการ C-SCRM ซึ่งเป็นส่วนหนึ่งของโปรแกรมการจัดการความเสี่ยงแบบองค์รวมมากขึ้น โดยใช้การยอมรับความเสี่ยง การคำนวณความเสี่ยง การประเมินผลกระทบและความเป็นไปได้เพื่อกำหนดระดับความเสี่ยง และดำเนินการ กระบวนการรับ บรรเทา และ/หรือโอนความเสี่ยงดังกล่าว
เป็นเวลาหลายปีที่ฉันมีส่วนร่วมอย่างมากกับหน่วยงานรัฐบาลกลางและภาคเอกชน ช่วยพวกเขาจัดการการปฏิบัติตามกฎระเบียบ ดำเนินการจัดการความเสี่ยง และให้คำปรึกษาเกี่ยวกับความสำคัญของการสร้างโปรแกรมการจัดการความเสี่ยงที่ครอบคลุม และฉันคิดว่าวิธีแก้ปัญหาของเราในชุมชนการจัดการความเสี่ยงด้านความปลอดภัยไม่ใช่ว่าเราต้องการคำสั่งประธานาธิบดี เทคโนโลยีที่ใหม่กว่า หรือสิ่งพิมพ์พิเศษของ NIST มากกว่า (เท่าที่ฉันรัก NIST และสิ่งพิมพ์พิเศษทั้งหมดของมัน) ความจริงก็คือเรามีกรอบงาน มาตรฐาน และข้อกำหนดมากมายอยู่แล้ว และพร้อมใช้งานสำหรับผู้ที่ต้องการพัฒนากลยุทธ์การจัดการความเสี่ยง สิ่งที่เราต้องการจริงๆ คือการนำการเปลี่ยนแปลงทางวัฒนธรรมมาใช้ในการจัดการความเสี่ยงในชุมชนธุรกิจของเรา
คำสั่งของผู้บริหารสามารถไปได้ไกลเท่านั้น
นี่ไม่ใช่ EO ฉบับแรกที่ออกเพื่อตอบสนองต่อภัยคุกคามทางไซเบอร์ และจะไม่ใช่ครั้งสุดท้าย ย้อนกลับไปสองสามปี เราสามารถพบ EO และคำสั่งมากมายที่มีเป้าหมายเพื่อจัดการกับภัยคุกคามประเภทนี้ แต่ยังมีเฟรมเวิร์กจำนวนมากที่ไม่ได้ใช้งานและ/หรือใช้งานน้อยเกินไป สองตัวอย่างได้แก่:
credit: iwebjujuy.com
lesrained.com
IowaIndependentsBlog.com
generic-ordercialis.com
berbecuta.com
Chloroquine-Phosphate.com
omiya-love.com
canadalevitra-20mg.com
catterylilith.com
lucianaclere.com
