กฎชั่วคราวของกระทรวงกลาโหมที่ให้รายละเอียดข้อกำหนดด้านความปลอดภัยทางไซเบอร์ใหม่สำหรับผู้รับเหมาและบริการคลาวด์ทำให้เกิดความตื่นเต้นอย่างมากในชุมชนของรัฐบาลกลางเมื่อสัปดาห์ที่แล้วแต่สิ่งที่สูญเสียไปในการอภิปรายคือว่ามาตรฐานไซเบอร์ใหม่ที่เพนตากอนกำลังร่างขึ้นสามารถบังคับใช้ได้จริงหรือไม่ และถ้าเป็นเช่นนั้น DoD จะต้องเสียค่าใช้จ่ายเท่าใดในระยะยาวRob Careyอดีตรองหัวหน้าเจ้าหน้าที่สารสนเทศของกระทรวงกลาโหม และปัจจุบันเป็นรองประธานโครงการนาวิกโยธินของกองทัพเรือที่ Vencore กล่าวว่ามาตรฐานใหม่นี้สมเหตุสมผลและจะช่วยได้
“นี่เป็นฟองสบู่มาหลายปีแล้ว” แครี่กล่าว “เป็นเรื่องดีที่รัฐบาล
และกระทรวงกลาโหมผลักดันความคาดหวังให้กับภาคอุตสาหกรรมเพื่อทำธุรกิจกับรัฐบาล โดยบอกว่าคุณจะทำสิ่งต่อไปนี้เพื่อปกป้องข้อมูล ฉันเข้าใจแล้ว อย่างไรก็ตาม ข้อเสียคืออุตสาหกรรมยังไม่พร้อมสำหรับความละเอียดและโครงสร้างในระดับนี้ในโครงสร้างพื้นฐานการป้องกันของเครือข่าย ในกรณีนี้ รัฐบาลทำได้ดีกว่า โดยเฉพาะอย่างยิ่ง DoD แต่พวกเขาก็ยังมีมือเต็มมือ”
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
Carey กล่าวว่าความท้าทายสำหรับอุตสาหกรรมในการปฏิบัติตามข้อกำหนดของ DoD นั้นเป็นสองเท่า
ประการแรก อุตสาหกรรมไม่มีข้อกำหนดเช่นเดียวกับรัฐบาล — ซึ่งหมายถึงมาตรฐานจากสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ หรือสำนักงานความมั่นคงแห่งชาติ หรือแม้แต่ในกฎหมาย เช่น พระราชบัญญัติการจัดการความปลอดภัยของข้อมูลของรัฐบาลกลาง ตอบคำถามมากมายที่กองทัพถามได้อย่างง่ายดายในกรณีของการละเมิดทางไซเบอร์ และอย่างที่เราทราบกันดีว่า มีบริษัทอยู่สองประเภท บริษัทที่ถูกละเมิดโดยที่รู้ และผู้ที่โดนละเมิดโดยที่ไม่รู้ตัว
ประการที่สอง Carey กล่าวว่าไม่มีรายละเอียดใด ๆ เกี่ยวกับวิธีที่รัฐบาล
จะดูแลหรือรับรองว่าผู้ขายปฏิบัติตามข้อกำหนดทางไซเบอร์เหล่านี้
“ที่เรากำลังมุ่งหน้าไปคือการถามว่าใครต้องรับผิดหากมีการละเมิด และฉันไม่แน่ใจว่าสิ่งนี้ทำให้เราไปถึงที่นั่นได้หรือไม่” เขากล่าว “มันจะยกระดับมาตรฐาน แต่ยังทำให้ต้นทุนการทำธุรกิจกับภาคอุตสาหกรรมสูงขึ้นด้วย เพราะพวกเขาต้องจ่ายสำหรับการควบคุมใหม่ ทั้งฮาร์ดแวร์และซอฟต์แวร์”
ทั้งสองประเด็นของ Carey นั้นถูกต้อง ในช่วงหลายปีที่ผ่านมา ผู้บริหารในอุตสาหกรรมกล่าวว่าพวกเขามีแรงจูงใจในการทำกำไรขั้นสูงสุดเพื่อให้ปลอดภัยในโลกไซเบอร์ ซึ่งก็คือกำไร แต่การแฮ็กข้อมูลของรัฐบาลและองค์กรพัฒนาเอกชนยังคงเกิดขึ้นในอัตราที่น่าตกใจ ดังนั้นหากแรงจูงใจด้านผลกำไรผลักดันให้อุตสาหกรรมรักษาความปลอดภัยของระบบและเครือข่ายของตน เหตุใดพวกเขาจึงไม่ทำงานให้ดีขึ้น และทำไม DoD ถึงต้องการข้อกำหนดเหล่านี้ตั้งแต่แรก? (ฉันรู้ – เพราะสภาคองเกรสผ่านกฎหมาย แต่ผู้ร่างกฎหมายจะไม่เห็นความจำเป็นในการใช้กฎหมายนี้หากไม่มีการโจมตีทางไซเบอร์และได้รับการสนับสนุนจาก DoD)
กระทรวงกลาโหมรายงานในเดือนมิถุนายนว่าหน่วยงานทางทหารกำลังเพิ่มภาษาสัญญาลงในรางวัลที่กำหนดให้ผู้ขายต้องรายงานการละเมิดทางไซเบอร์
กระทรวงยอมรับแม้กระทั่งกฎนี้จะทำให้ผู้ขายให้ความพยายามที่แตกต่างหรือใหม่
“กฎนี้กำหนดให้ผู้รับเหมาต้องรายงานเหตุการณ์ทางไซเบอร์ต่อกระทรวง ในฟิลด์การรายงานที่จำเป็นหลายฟิลด์อาจต้องการผู้เชี่ยวชาญด้านเทคโนโลยีสารสนเทศเพื่อให้ข้อมูลที่อธิบายถึงเหตุการณ์ทางไซเบอร์หรืออย่างน้อยก็เพื่อระบุว่าข้อมูลใดได้รับผลกระทบ ซึ่งจะระบุไว้ในรายงาน” กฎชั่วคราวระบุความท้าทายเป็นจริงโดยเฉพาะอย่างยิ่งสำหรับบริษัทขนาดเล็ก กระทรวงกลาโหมประเมินว่ากฎนี้จะส่งผลกระทบต่อผู้รับเหมาประมาณ 10,000 ราย และน้อยกว่าครึ่งเป็นบริษัทขนาดเล็ก
“นี่เป็นขั้นตอนที่ถูกต้อง แต่ฉันไม่แน่ใจว่าคุณบังคับใช้สิ่งนี้อย่างไร” แครี่กล่าว “ฉันไม่คิดว่าจะมีใครตื่นเต้นว่าสิ่งนี้จะแก้ไขปัญหาทางไซเบอร์ทั้งหมดที่เราเผชิญได้อย่างไร จนกว่าจะมีการลงทุนจำนวนมากในการวิจัยและพัฒนา เราจะต่อสู้กับความปลอดภัยทางไซเบอร์ นี่คือชุดของสิ่งต่าง ๆ ที่จะขับเคลื่อนอุตสาหกรรมให้ดีขึ้นและเป็นเชิงรุกมากขึ้น แต่ยังผลักดันราคาให้สูงขึ้นด้วย”
คำถามเกี่ยวกับภาระเป็นปัญหาที่เกิดขึ้นบ่อยครั้ง โดยเฉพาะอย่างยิ่งเกี่ยวกับการรายงานการได้มา แต่คำถามเกี่ยวกับภาระทางไซเบอร์ก็จำเป็นต้องได้รับการพิจารณาด้วยเช่นกัน
ดังนั้น ความคิดเห็นต่อ DoD เกี่ยวกับข้อกำหนดใหม่เหล่านี้มีกำหนดภายในวันที่ 26 ต.ค.