ในเดือนมกราคม กระทรวงกลาโหมได้เปิดตัวเวอร์ชัน 1.0ของ Cybersecurity Maturity Model Certification (CMMC) จำนวน 390 หน้า ซึ่งจะกำหนดให้ผู้รับเหมาของ DoD ทั้งหมดภายในปีนี้ต้องแสดง “มาตรฐานความปลอดภัยทางไซเบอร์ในระดับพื้นฐานเป็นอย่างน้อย” เมื่อกรอกคำขอสำหรับข้อเสนอ ( RFP) DoD จะปล่อย 10 RFP ที่ ต้องได้รับการรับรอง CMMC เมื่อได้รับสัญญาภายในสิ้นปีนี้ และภายในปี 2026 มีรายงานว่าสัญญา DoD ทั้งหมดจะมีข้อกำหนดเหล่านี้ การระบาดใหญ่ของ
ไวรัสโคโรนาในปัจจุบันเน้นย้ำถึงความจำเป็นที่รัฐบาลจะต้องดำเนินการอย่างรวดเร็ว
และมีเป้าหมายในการดำเนินการเปลี่ยนแปลงเหล่านี้หน่วยงานรัฐบาลทราบดีว่าการซื้อเทคโนโลยีในห่วงโซ่อุปทานมีความเสี่ยงที่จะถูกแทรกซึมและการแสวงหาผลประโยชน์ แต่หน่วยงานหลายแห่งไม่ได้ปรับใช้ความเข้มงวดที่จำเป็นในการซื้อคอมพิวเตอร์ เครื่องพิมพ์ และซอฟต์แวร์โดยคำนึงถึงภัยคุกคามร้ายแรงที่อาจเกิดขึ้นได้ ผู้ซื้อของรัฐบาลทุกคน เช่นเดียวกับผู้บริโภคทุกคน มักจะมีนิสัยการซื้อส่วนตัวในการทำงาน ในขณะเดียวกัน พวกเขาอยู่ภายใต้แรงกดดันอย่างหนักที่จะต้องควบคุมค่าใช้จ่ายและให้อยู่ในงบประมาณ หลายคนจึงเลือกใช้โมเดล “ราคาต่ำที่สุดและเป็นที่ยอมรับในทางเทคนิค” ซึ่งเน้นย้ำถึงการได้มาซึ่งผลิตภัณฑ์ที่ดีพอแทนที่จะเป็นผลิตภัณฑ์ที่มีคุณภาพดีเยี่ยม CMMC เป็นขั้นตอนสำคัญที่ช่วยให้รัฐบาลมีความปลอดภัยมากขึ้น
การบัญชีเกี่ยวกับธรรมชาติของมนุษย์ในการรักษาความปลอดภัย
หลักเกณฑ์ใหม่ไม่ได้มีผลกับฮาร์ดแวร์เท่านั้น องค์กรด้านไอทียังต้องระวังมากขึ้นเกี่ยวกับซอฟต์แวร์ที่อนุญาตให้พนักงานของรัฐใช้ในที่ทำงาน พนักงานใช้สมาร์ทโฟนและอุปกรณ์อื่นๆ ของตนเองในการทำงานมากกว่าที่เคย และใช้แอปหลักจากชีวิตส่วนตัวบนอุปกรณ์ที่ทำงาน “ก็อทชา!” คือซอฟต์แวร์บางตัวมีความเสี่ยงในระดับเดียวกับที่ DoD เคยเตือนไว้ก่อนหน้านี้ อันที่จริง กองทัพเรือและกองทัพบกได้สั่งห้ามไม่ให้บุคลากรใช้ TikTokบนโทรศัพท์ที่ออกโดยรัฐบาล
ในโลกของการรักษาความปลอดภัยทางไซเบอร์ โดยมีรัฐบาลกลาง รัฐ
และท้องถิ่นภายใต้การโจมตีอย่างต่อเนื่องจากรัฐชาติและแฮ็กเกอร์ผู้ประกอบการ ทุกหน่วยงานต้องตรวจสอบอย่างใกล้ชิดว่าผลิตภัณฑ์ของตนมาจากที่ใด และใช้จ่ายเพิ่มขึ้นอีกเล็กน้อยเพื่อให้มั่นใจว่ามีเทคโนโลยีที่ปลอดภัยที่สุด เงินสามารถซื้อได้ ให้พนักงานได้รับความรู้เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดเพื่อหลีกเลี่ยงข้อผิดพลาดของมนุษย์
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
คิดอย่างกว้างๆ ถึงความสัมพันธ์ระหว่างหน่วยงานและความร่วมมือของบุคคลที่สาม
ผู้ที่ยังไม่ได้ระบุประเด็นที่จะปฏิบัติตามหลักเกณฑ์การปฏิบัติตามกฎระเบียบก่อนหน้านี้ เช่น คำแนะนำจากNational Institute of Standards and Technology (NIST)ซึ่งให้คำแนะนำแก่ CMMC จะพบว่าตัวเองอยู่เบื้องหลังผู้ที่ปฏิบัติตามหลักการเหล่านี้อย่างจริงจังอย่างรวดเร็ว พวกเขายังมีแนวโน้มที่จะเริ่มสูญเสียโอกาสกับ DoD ซึ่งต้องพิจารณาถึงผลกระทบที่อาจเกิดขึ้นกับความมั่นคงของชาติและการเตรียมพร้อมทางทหารอย่างต่อเนื่องทุกครั้งที่ซื้อเทคโนโลยี
อย่างไรก็ตาม ยิ่งไปกว่านั้น ผู้ขายควรคาดหวังว่า CMMC สามารถกำหนดมาตรฐานที่หน่วยงานอื่น ๆ เริ่มดำเนินการได้ เราได้เห็นสิ่งนี้เกิดขึ้นกับข้อบังคับประเภทอื่นๆ กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรป ซึ่งกำหนดหลักเกณฑ์เกี่ยวกับวิธีการใช้ข้อมูลส่วนตัวโดยบริษัทที่ทำธุรกิจในสหภาพยุโรป ซึ่งเนื้อหาดังกล่าวช่วยปูทางไปสู่กฎที่คล้ายคลึงกันทั่วโลก เช่น พระราชบัญญัติความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (California Consumer Privacy Act ) มีผลในเดือนมกราคม
สร้างแผนภูมิหลักสูตรใหม่สำหรับบรรทัดฐานด้านความปลอดภัย
สิ่งสำคัญที่ทั้งหน่วยงานภาครัฐและผู้รับเหมาต้องระลึกไว้เสมอก็คือ วิธีเดิมๆ ในการจัดหาเทคโนโลยีนั้นหายไปหมดแล้ว การโจมตีซัพพลายเชนต่อองค์กรภาคเอกชนเพิ่มขึ้นเกือบสองเท่าในปี 2561 ตามรายงานของไซแมนเทคและมากกว่าครึ่งหนึ่งของบริษัทรายงานว่าประสบกับช่องโหว่ในปีนั้นซึ่งเกิดจากหนึ่งในผู้ขายของตน
องค์กรเหล่านี้หลายแห่งดำเนินธุรกิจกับหน่วยงานของรัฐ และคาดว่าการโจมตีเหล่านี้จะยังคงเกิดขึ้นเพราะเหตุนี้ ในความเป็นจริง ก่อนที่โควิด-19 จะเริ่มเลวร้ายลง เกือบ 75% ของผู้นำด้านไอทีที่สำรวจโดย Crowdstrikeกล่าวว่าพวกเขามองว่าการโจมตีที่ได้รับการสนับสนุนจากรัฐเป็นภัยคุกคามที่ใหญ่ที่สุดเพียงอย่างเดียวในปีนี้ มากกว่าครึ่ง (56%) กล่าวว่าความสัมพันธ์ใกล้ชิดกับหน่วยงานรัฐบาลสหรัฐฯ สามารถกระตุ้นการโจมตีดังกล่าวได้ เป็นประเด็นที่ถูกต้อง—หน่วยงานของรัฐมีความอ่อนไหวอย่างมากต่อการโจมตีเหล่านี้ โดยเฉพาะอย่างยิ่งเมื่อเปลี่ยนกลับเป็นนโยบาย “ราคาต่ำที่สุด เป็นที่ยอมรับทางเทคนิค” และไม่จัดลำดับความสำคัญของพันธมิตรผู้จำหน่ายในห่วงโซ่อุปทานที่รับประกันความปลอดภัยของฮาร์ดแวร์และซอฟต์แวร์
ด้วย CMMC ที่ชี้นำหน่วยงานรัฐบาลและผู้รับเหมา นี่จะเป็นปีแห่งการเปลี่ยนแปลงที่สำคัญในขั้นตอนการจัดซื้อจัดจ้าง ผู้ซื้อจะต้องเข้าใจว่าข้อกำหนดมีการพัฒนาอย่างไร ให้ความสนใจอย่างใกล้ชิดกับอุปก
