กฎชั่วคราวของกระทรวงกลาโหมที่ให้รายละเอียดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ใหม่สำหรับผู้รับเหมาและบริการคลาวด์ทำให้เกิดความตื่นเต้นอย่างมากในชุมชนของรัฐบาลกลางเมื่อสัปดาห์ที่แล้ว
แต่สิ่งที่สูญเสียไปในการอภิปรายคือว่ามาตรฐานไซเบอร์ใหม่ที่เพนตากอนกำลังร่างขึ้นสามารถบังคับใช้ได้จริงหรือไม่ และถ้าเป็นเช่นนั้น DoD จะต้องเสียค่าใช้จ่ายเท่าใดในระยะยาวRob Careyอดีตรองหัวหน้าเจ้าหน้าที่สารสนเทศของกระทรวงกลาโหม และ
ปัจจุบันเป็นรองประธานโครงการนาวิกโยธินของกองทัพเรือ
ที่ Vencore กล่าวว่ามาตรฐานใหม่นี้สมเหตุสมผลและจะช่วยได้“นี่เป็นฟองสบู่มาหลายปีแล้ว” แครี่กล่าว “เป็นเรื่องดีที่รัฐบาลและกระทรวงกลาโหมผลักดันความคาดหวังให้กับภาคอุตสาหกรรมเพื่อทำธุรกิจกับรัฐบาล โดยบอกว่าคุณจะทำสิ่งต่อไปนี้เพื่อปกป้องข้อมูล ฉันเข้าใจแล้ว อย่างไรก็ตาม ข้อเสียคืออุตสาหกรรมยังไม่พร้อมสำหรับความละเอียดและโครงสร้างในระดับนี้ในโครงสร้างพื้นฐานการป้องกันของเครือข่าย ในกรณีนี้ รัฐบาลทำได้ดีกว่า โดยเฉพาะอย่างยิ่ง DoD แต่พวกเขาก็ยังมีมือเต็มมือ”
Insight by Zebra Technologies: ในการสัมมนาทางเว็บฉบับพิเศษของ Ask the CIO พิธีกร Jason Miller และแขกของเขาจาก Defense Logistics Agency และ Zebra Technologies จะเจาะลึกระบบการปรับปรุงคลังสินค้าให้ทันสมัยและกลยุทธ์ในอนาคตที่ DLA
Carey กล่าวว่าความท้าทายสำหรับอุตสาหกรรมในการปฏิบัติตามข้อกำหนดของ DoD นั้นเป็นสองเท่า
ประการแรก อุตสาหกรรมไม่มีข้อกำหนดเช่นเดียวกับรัฐบาล — ซึ่งหมายถึงมาตรฐานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ หรือสำนักงานความมั่นคงแห่งชาติ หรือแม้แต่ในกฎหมาย เช่น พระราชบัญญัติการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง ตอบคำถามมากมายที่กองทัพถามได้อย่างง่ายดายในกรณีของการละเมิดทางไซเบอร์ และอย่างที่เราทราบกันดีว่า มีบริษัทอยู่สองประเภท บริษัทที่ถูกละเมิดโดยที่รู้ และผู้ที่โดนละเมิดโดยที่ไม่รู้ตัว
ประการที่สอง Carey กล่าวว่าไม่มีรายละเอียดใด ๆ
เกี่ยวกับวิธีที่รัฐบาลจะดูแลหรือรับรองว่าผู้ขายปฏิบัติตามข้อกำหนดทางไซเบอร์เหล่านี้
“ที่เรากำลังมุ่งหน้าไปคือการถามว่าใครต้องรับผิดหากมีการละเมิด และฉันไม่แน่ใจว่าสิ่งนี้ทำให้เราไปถึงที่นั่นได้หรือไม่” เขากล่าว “มันจะยกระดับมาตรฐาน แต่ยังทำให้ต้นทุนการทำธุรกิจกับภาคอุตสาหกรรมสูงขึ้นด้วย เพราะพวกเขาต้องจ่ายสำหรับการควบคุมใหม่ ทั้งฮาร์ดแวร์และซอฟต์แวร์”
ทั้งสองประเด็นของ Carey นั้นถูกต้อง ในช่วงหลายปีที่ผ่านมา ผู้บริหารในอุตสาหกรรมกล่าวว่าพวกเขามีแรงจูงใจในการทำกำไรขั้นสูงสุดเพื่อให้ปลอดภัยในโลกไซเบอร์ ซึ่งก็คือกำไร แต่การแฮ็กข้อมูลของรัฐบาลและองค์กรพัฒนาเอกชนยังคงเกิดขึ้นในอัตราที่น่าตกใจ ดังนั้นหากแรงจูงใจด้านผลกำไรผลักดันให้อุตสาหกรรมรักษาความปลอดภัยของระบบและเครือข่ายของตน เหตุใดพวกเขาจึงไม่ทำงานให้ดีขึ้น และทำไม DoD ถึงต้องการข้อกำหนดเหล่านี้ตั้งแต่แรก? (ฉันรู้ – เพราะสภาคองเกรสผ่านกฎหมาย แต่ผู้ร่างกฎหมายจะไม่เห็นความจำเป็นในการใช้กฎหมายนี้หากไม่มีการโจมตีทางไซเบอร์และได้รับการสนับสนุนจาก DoD)
กระทรวงกลาโหมรายงานในเดือนมิถุนายนว่าหน่วยงานทางทหารกำลังเพิ่มภาษาสัญญาลงในรางวัลที่กำหนดให้ผู้ขายต้องรายงานการละเมิดทางไซเบอร์
กระทรวงยอมรับแม้กระทั่งกฎนี้จะทำให้ผู้ขายให้ความพยายามที่แตกต่างหรือใหม่
“กฎนี้กำหนดให้ผู้รับเหมาต้องรายงานเหตุการณ์ทางไซเบอร์ต่อกระทรวง ในฟิลด์การรายงานที่จำเป็นหลายฟิลด์อาจต้องการผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศเพื่อให้ข้อมูลที่อธิบายถึงเหตุการณ์ทางไซเบอร์หรืออย่างน้อยก็เพื่อระบุว่าข้อมูลใดได้รับผลกระทบ ซึ่งจะระบุไว้ในรายงาน” กฎชั่วคราวระบุ
credit : เว็บสล็อต / ยูฟ่าสล็อต เว็บตรง
