ใช้แป้นลูกศรขึ้น/ลงเพื่อเพิ่มหรือลดระดับเสียงดาวน์โหลดเสียงวันพุธเป็นจุดกึ่งกลางของการพัฒนากรอบความปลอดภัยทางไซเบอร์ครั้งแรกของประเทศสำหรับโครงสร้างพื้นฐานที่สำคัญสถาบันมาตรฐานและเทคโนโลยีแห่งชาติเป็นผู้นำความพยายามดังกล่าวซึ่งเรียกร้องให้มีคำสั่งผู้บริหารประจำเดือนกุมภาพันธ์ของประธานาธิบดีบารัค โอบามา โดยรวบรวมผู้เชี่ยวชาญภาคอุตสาหกรรมและภาคเอกชนอื่นๆ
คำสั่งของโอบามาให้เวลา NIST 240 วันในการเผยแพร่เฟรมเวิร์กเวอร์ชันแรก
ซึ่งมีเป้าหมายให้เป็นชุดมาตรฐานและแนวปฏิบัติพื้นฐานที่มีการพัฒนาอย่างต่อเนื่อง โดยสมัครใจ เพื่อช่วยปกป้องโครงสร้างพื้นฐานที่สำคัญของประเทศจากการถูกโจมตีจนถึงขณะนี้ ในช่วง 120 วันแรก NIST ได้จัดการประชุมเชิงปฏิบัติการสาธารณะ 2 ครั้งและรวบรวมคำตอบมากกว่า 200 รายการต่อคำขอข้อมูลเกี่ยวกับกระบวนการกรอบงาน
ข้อมูลเชิงลึกโดย Censys: ในระหว่างการสัมมนาออนไลน์เกี่ยวกับคู่มือ CISO สุดพิเศษนี้ ผู้ดำเนินรายการ Jason Miller และ Elena Peterson จะสำรวจการวิจัยด้านความปลอดภัยในโลกไซเบอร์และความคิดริเริ่มในการปรับปรุงไอทีให้ทันสมัยที่ PNNL ผู้ดำเนินรายการ Justin Doubleday และแขกรับเชิญ Matt Lembright จาก Censys จะให้มุมมองของอุตสาหกรรม
Patrick Gallagher ผู้อำนวยการของ NIST กล่าวว่า
ข้อมูลของอุตสาหกรรมจะเป็นตัวกำหนดว่าเวอร์ชันเบื้องต้นของผลิตภัณฑ์จะมีลักษณะอย่างไรเมื่อเปิดตัวในฤดูใบไม้ร่วงนี้
“เราใช้คำว่า ‘กรอบงาน’ เป็นศัพท์ทางศิลปะ แต่แนวคิดนี้ง่ายมากที่จะให้อุตสาหกรรมพัฒนาอะไรก็ตามที่จะเกิดขึ้น ซึ่งหากมีการนำไปใช้ จะส่งผลให้ประสิทธิภาพการรักษาความปลอดภัยทางไซเบอร์ดีขึ้น” เขากล่าวระหว่างการพิจารณาของคณะกรรมการจัดสรรวุฒิสภาด้านความปลอดภัยทางไซเบอร์ในวันพุธ “นั่นจะรวมถึงการวัดมาตรฐานจำนวนมาก”
พลังในการกำหนดรูปแบบเทคโนโลยีแต่กัลลาเกอร์กล่าวว่าอุตสาหกรรมจำเป็นต้องเป็นผู้นำกระบวนการกำหนดมาตรฐาน เขากล่าวโดยรวมว่า บริษัทเอกชนมีความสามารถที่จะเข้าใจสิ่งที่ต้องทำอย่างต่อเนื่อง ในทางกลับกัน NIST ซึ่งเป็นหน่วยงานที่ค่อนข้างเล็กไม่ทำเช่นนั้น
Patrick Gallagher ผู้อำนวยการสถาบันมาตรฐานและเทคโนโลยีแห่งชาติ
“ภาคอุตสาหกรรมเป็นบริษัทเดียวที่พัฒนาเทคโนโลยีไอที และพวกเขารู้ว่ากำลังจะไปที่ไหน อินเทอร์เน็ตเป็นโครงสร้างพื้นฐานระดับโลก และบริษัทเหล่านี้ดำเนินงานในระดับโลก ด้วยการฝังประสิทธิภาพด้านความปลอดภัยลงในผลิตภัณฑ์และบริการ เราสามารถฝังการปรับปรุงเหล่านี้ในตลาดได้ และนั่นทำให้บริษัทของเรามีอำนาจในการกำหนดรูปแบบเทคโนโลยีเหล่านั้นทั่วโลก” เขากล่าว “นี่จะเป็นความท้าทายอย่างต่อเนื่อง แต่คอขวดไม่ใช่ NIST เราไม่ใหญ่พอที่จะสนับสนุนสิ่งนี้ด้วยตัวเราเอง บทบาทของเราต้องช่วยให้อุตสาหกรรมหายานพาหนะที่พวกเขาสามารถจัดระเบียบและตอบสนองต่อสิ่งนี้ได้ นั่นเป็นวิธีเดียวที่สามารถแบกรับความสามารถทางเทคนิคที่เพียงพอได้”
ในการวิเคราะห์เบื้องต้นเกี่ยวกับข้อมูลป้อนเข้าของอุตสาหกรรมที่รวบรวมมาจนถึงตอนนี้ NIST กล่าวว่าได้ระบุประเด็นทั่วไปหลายประการ
ในหมู่พวกเขา ผู้ตอบแบบสำรวจส่วนใหญ่กล่าวว่ากรอบการทำงานควรสนับสนุนให้ผู้ให้บริการโครงสร้างพื้นฐานที่สำคัญใช้แนวทางการรักษาความปลอดภัยทางไซเบอร์ที่จัดระเบียบตามการจัดการความเสี่ยงมากกว่าการปฏิบัติตามกฎระเบียบที่เข้มงวด นอกจากนี้ ผู้ตอบแบบสอบถามกล่าวว่ากรอบการทำงานจำเป็นต้องคำนึงถึงว่าบริษัทจำนวนมากที่เกี่ยวข้องเป็นบริษัทข้ามชาติที่อยู่ภายใต้มาตรฐานสากล และกรอบการทำงานจำเป็นต้องมีความยืดหยุ่นเพียงพอที่จะทำงานข้ามภาคส่วนต่างๆ ของเศรษฐกิจ
Gallagher กล่าวว่าการทำให้กรอบมีความยืดหยุ่นจะเป็นตัวกำหนดที่สำคัญว่าอุตสาหกรรมจะนำมาใช้และใช้งานจริงหรือไม่
“กรอบการทำงานนี้ดูทั่วไปหรือเจาะจงภาคส่วนเพียงใด แท้จริงแล้วคือคำถามที่ผู้เข้าร่วมในกรอบกำลังเผชิญอยู่” เขากล่าว “ข่าวดีก็คือแม้จะมีความแตกต่างอย่างมากในแต่ละภาคส่วน แต่ทั้งหมดก็ขึ้นอยู่กับชุดหลักของการสื่อสารและเทคโนโลยีไอที ข้อได้เปรียบที่สำคัญประการหนึ่งที่พวกเขามีในการทำงานร่วมกันคือสามารถผลักดันประสิทธิภาพนั้นออกสู่ตลาดได้ จากนั้นพวกเขาสามารถซื้อบริการด้านไอทีและอุปกรณ์ไอทีเหล่านี้ได้ในราคาที่ถูกลง เพราะพวกเขากำลังช่วยกำหนดตลาด ฉันคิดว่าสิ่งที่สำคัญที่สุดคือการทำความปลอดภัยทางไซเบอร์ที่ดีจะต้องกลายเป็นธุรกิจที่ดี กรอบกระบวนการเหล่านี้ต้องเข้ากันได้กับบริษัทที่ทำกำไรและดำเนินกิจการได้ดี และอาจกลายเป็นว่ากรอบการทำงานเกี่ยวกับการจัดการและแนวทางปฏิบัติทางธุรกิจมากกว่าที่จะเกี่ยวกับการควบคุมทางเทคนิค
