การประกันภัยทางไซเบอร์ไม่ใช่คำตอบอีกต่อไป ดู NIST 800-171 และ CMMC 2.0 เพื่อลดความเสี่ยงทางไซเบอร์

การประกันภัยทางไซเบอร์ไม่ใช่คำตอบอีกต่อไป ดู NIST 800-171 และ CMMC 2.0 เพื่อลดความเสี่ยงทางไซเบอร์

ในขณะที่ภัยคุกคามทางไซเบอร์ต่อทั้งภาครัฐและเอกชนยังคงเติบโต ผู้รับเหมาจำนวนมากในฐานอุตสาหกรรมกลาโหมจึงมองว่าการประกันภัยทางไซเบอร์เป็นเส้นทางที่ง่ายที่สุดในการลดความเสี่ยงนั้น สิ่งนี้กลายเป็นเรื่องยากขึ้นเรื่อยๆ เนื่องจากทั้งภัยคุกคามและลักษณะของการประกันภัยทางไซเบอร์นั้นมีการพัฒนาอย่างต่อเนื่อง สิ่งนี้ทำให้ผู้รับเหมามีทางเลือก: มุ่งเน้นไปที่สิ่งที่รู้สึกเหมือนเป็นชุดข้อบังคับและข้อกำหนดทางไซเบอร์ที่แตกต่างกัน หรือขยายขอบเขตของพวกเขาเพื่อคิดเกี่ยวกับการลดความเสี่ยง อย่างไรก็ตาม ความจริงก็คือตัวเลือกทั้งสองนี้อาจทับซ้อนกันมากกว่าที่คนส่วนใหญ่ตระหนัก

“โดยสัญชาตญาณ มองเผินๆ การประกันภัยทางไซเบอร์ให้ความรู้

สึกที่ชาญฉลาดกว่ามาก ปัญหาคือ การรักษาความปลอดภัยนั้นไม่ได้ผลจริง ๆ ในแบบที่ความเสี่ยงแบบดั้งเดิมทำงาน” จาค็อบ ฮอร์น หัวหน้าผู้เผยแพร่ข่าวประเสริฐด้านความปลอดภัยในโลกไซเบอร์ที่ Summit 7 กล่าว หลังจากการสัมมนาทางเว็บครั้งล่าสุดกับผู้นำทางความคิดอื่น ๆในอุตสาหกรรม “วิธีการเขียนนโยบายการประกัน, ความเสี่ยงโดยรวมในระบบนิเวศ, การโฆษณาประเภทความคุ้มครองที่ได้รับ, นำไปสู่สถานการณ์ที่มีจำนวนมากเมื่อมีบางอย่าง เช่น การระบาดของแรนซัมแวร์หรือเหตุการณ์ขนาดใหญ่อื่นๆ เกิดขึ้น, ความคุ้มครองการประกัน ได้เริ่มที่จะ ‘พังทลาย’ ถ้าคุณต้องการ”

ตัวอย่างเช่น Horne กล่าวว่าการแสดงที่มามีส่วนสำคัญในกระบวนการประกันไซเบอร์ แต่เมื่อมีตัวแสดงของรัฐชาติเข้ามาเกี่ยวข้อง การระบุที่มาจะกลายเป็นธุรกิจที่ยุ่งยากกว่ามาก โดยมีนัยยะทางภูมิรัฐศาสตร์ การทูต หรือแม้แต่ทางกฎหมาย หน่วยงานรัฐบาลกลางไม่เพียงแต่ลังเลที่จะชี้นิ้วชี้ไปที่ฝ่ายตรงข้ามที่ใกล้เคียงที่สุดเท่านั้น แต่ยังมีคำถามทางกฎหมายอีกหลายข้อเกี่ยวกับสิ่งที่ก่อให้เกิดสงครามในโดเมนไซเบอร์ เนื่องจากบริษัทประกันภัยไม่ครอบคลุมถึงการกระทำสงคราม จนกว่าสภาคองเกรสหรือศาลจะกำหนดขอบเขตหรือแบบอย่างทางกฎหมาย ประเด็นนี้จะยังคงคลุมเครือ

อีกประเด็นหนึ่งคือหลายบริษัทไม่ได้รับความคุ้มครองเพียงพอ 

บริษัทส่วนใหญ่ไม่โฆษณารายละเอียดของการละเมิดทางไซเบอร์หรือขั้นตอนการกู้คืนด้วยเหตุผลที่ชัดเจน แต่ Horne กล่าวว่าการศึกษาได้แสดงให้เห็นว่าต้นทุนเฉลี่ยของการกู้คืนสำหรับการละเมิดแรนซัมแวร์นั้นอยู่ที่ประมาณต่ำล้าน ผู้รับเหมาส่วนใหญ่มีความคุ้มครองประมาณ 500,000 ถึง 1 ล้านเหรียญเท่านั้น และจำนวนเงินความคุ้มครองก็น้อยลงเรื่อย ๆ เนื่องจากข้อกำหนดสำหรับการประกันกลายเป็นภาระมากขึ้น สิ่งนี้ทำให้เป็นเรื่องยากอย่างยิ่งเมื่อบริษัทส่วนใหญ่ เช่น ในฐานอุตสาหกรรมกลาโหมเป็นธุรกิจขนาดเล็กที่ไม่มีทรัพยากรหรือความเชี่ยวชาญในการดำเนินการตามมาตรฐานไซเบอร์ที่เข้มงวดภายในองค์กร

และแน่นอนว่าถือว่ามีมาตรฐานทั้งหมด“ณ ตอนนี้ ยังไม่มีมาตรฐานที่บริษัทประกันภัยใช้ในการประเมินความคุ้มครองของบริษัท” ฮอร์นกล่าว “มีภูมิทัศน์ของกรอบการทำงานที่แตกต่างกัน — กรอบการปฏิบัติตามกฎระเบียบ กรอบการควบคุม — อยู่ที่นั่น กระทรวงกลาโหมเป็นผู้นำทางสำหรับบริษัทที่อยู่ปลายน้ำในรัฐบาลกลาง National Institute of Standards and Technology Special Publication 800-171 เป็นมาตรฐานที่ DoD กำหนดให้บริษัทต่าง ๆ ดำเนินการ”

การรับรองรูปแบบการครบกำหนดของการรักษาความปลอดภัยทางไซเบอร์ของ DoD กำหนดให้ผู้รับเหมาที่ต้องการทำงานกับ DoD ดำเนินการตามมาตรฐานที่กำหนดไว้ใน NIST 800-171 สิ่งสำคัญคือต้องแยกแยะว่า CMMC 2.0 ไม่ใช่เฟรมเวิร์กที่แตกต่างกัน เป็นเพียงข้อกำหนดสำหรับผู้รับเหมาในการปรับใช้กรอบงาน และกระบวนการประเมินจากบุคคลที่สามเพื่อตรวจสอบการยอมรับนั้น

แต่ NIST 800-171 ไม่เคยตั้งใจให้เป็นบทช่วยสอนเกี่ยวกับวิธีสร้างโปรแกรมความปลอดภัย ในที่นี้คือปัญหา

“ตามที่เรา [Summit 7] ได้ค้นพบในช่วงหลายปีที่ผ่านมา บริษัทส่วนใหญ่ใน DIB และบริษัทส่วนใหญ่ที่อยู่ถัดจากรัฐบาลกลาง เป็นธุรกิจขนาดเล็กที่ไม่มีโครงการรักษาความปลอดภัยข้อมูล ดังนั้นพวกเขาจึงต้องดำเนินการบางอย่างที่ถือว่าคุณมีโปรแกรม มันเกือบจะเหมือนกับการเริ่มต้นที่ฐานที่สามในแง่เบสบอล” ฮอร์นกล่าว

NIST 800-171 ทำแผนที่อย่างมากกับเฟรมเวิร์กความปลอดภัยทางไซเบอร์อื่นๆ ซึ่งหลายเฟรมอิงตามการควบคุมทางเทคนิคของ NIST กรอบงาน 800-171 ได้รับการออกแบบเป็นจุดเริ่มต้น และไม่เป็นการเสียเวลาสำหรับผู้รับเหมาในการดำเนินการ สำหรับบริษัทขนาดเล็กที่มีแนวโน้มที่จะจ้างบริการด้านไอทีที่มีการจัดการจากภายนอกอยู่แล้ว อาจเป็นความคิดที่ดีสำหรับบริษัทเหล่านั้นที่จะจ้างบริษัทภายนอกรักษาความปลอดภัยและเพื่อยกระดับความพยายามเหล่านี้โดยการนำมาตรฐานที่มีอยู่แล้วไปใช้

credit : ฝากถอนไม่มีขั้นต่ำ