ประสบการณ์การฟังที่ดีที่สุดอยู่บน Chrome, Firefox หรือ Safari สมัครรับเสียงสัมภาษณ์ประจำวันของ Federal Drive ใน Apple Podcasts หรือ PodcastOneมันเป็นปัญหาเก่า แต่เป็นปัญหาที่ใช้ได้จริง คุณจะวัดมูลค่าการใช้จ่ายเพื่อการป้องกันได้อย่างไร? นั่นเป็นความท้าทายซ้ำซากสำหรับหน่วยงานรัฐบาลกลางที่อ่อนไหวต่ออันตรายจากการละเมิดความปลอดภัยในโลกไซเบอร์ และต่อผู้จัดสรรเงินที่ลงคะแนนเสียง ดังนั้นคุณจะปรับการใช้จ่ายด้านความปลอดภัยในโลกไซเบอร์ได้อย่างไร?
สำหรับแนวคิดล่าสุดบางอย่างFederal Drive กับ Tom Temi n
ได้หันไปหา Paul Rosenzweig อดีตเจ้าหน้าที่ไซเบอร์ของ Homeland Security ซึ่งปัจจุบันเป็นเพื่อนร่วมงานอาวุโสของ R Street Institute
บันทึกการสัมภาษณ์:
CX Exchange ของ Federal News Network: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
ทอม เทมิน: พอล ยินดีที่ได้ร่วมงาน
Paul Rosenzweig: เยี่ยมมากที่ได้มาที่นี่ ขอบคุณที่มีฉัน
ทอม เทมิน: เมื่อไม่นานมานี้ หน่วยงานระบบสารสนเทศกลาโหมต้องส่งจดหมายแจ้งผู้คนว่าข้อมูลของพวกเขาถูกละเมิด สองสามแสนคน ดังนั้นพวกเขาจะได้รับการตรวจสอบเครดิตฟรี ฯลฯ ฯลฯ ดังนั้นบางครั้งการละเมิดเหล่านี้จึงพิสูจน์ให้เห็นถึงความสำคัญของการใช้จ่าย แต่เมื่อไม่มีอะไรเกิดขึ้นก็เป็นเรื่องยาก
พอล โรเซนซไวก์: มันเป็นสิ่งที่ยาก ตอนนี้ ถ้าฉันเป็นหัวหน้าเจ้าหน้าที่รักษาความ
ปลอดภัยข้อมูลขององค์กรใดๆ ไม่ว่าจะเป็น DISA หรือองค์กรการค้าภาคเอกชน ฉันจะไปหาฝ่ายบริหารและพูดว่า “ขอเงิน 5 ล้านดอลลาร์สำหรับการอัปเกรดความปลอดภัยใหม่นี้” พวกเขาจะพูดว่า “เยี่ยมมาก เราจะได้อะไรจากมัน” และฉันจะตอบว่า “อืม มันทำให้เราปลอดภัยขึ้น” และพวกเขาจะพูดว่า “เยี่ยมมาก ปลอดภัยกว่ากันแค่ไหน” เมื่อถึงจุดนี้ฉันก็ “อืมม อืม..” เพราะไม่มีทางที่จะประเมินประโยชน์ของการปรับปรุงความปลอดภัยในโลกไซเบอร์ได้ หรือพูดให้ถูกก็คือ ไม่มีวิธีใดที่โปร่งใสและตรวจสอบได้ซึ่งเป็นที่ยอมรับโดยทั่วไปในการทำเช่นนั้น เราทราบดีว่าการเพิ่มไฟร์วอลล์ใหม่อาจช่วยได้บางส่วนหรือการเปลี่ยนไปใช้การตรวจสอบสิทธิ์แบบสองปัจจัยอาจช่วยได้บ้าง แต่เราไม่มีทางวัดปริมาณอย่างเข้มงวดได้ว่าจะจัดการกับผู้กำหนดงบประมาณในสภาคองเกรสด้วยวิธีใด เพื่อให้พวกเขาสามารถเปรียบเทียบการจัดสรรทรัพยากรและ พูดว่า เราควรลงทุนห้าล้านที่นั่นมากกว่าที่นี่ นั่นคือปัญหา หมายความว่าโดยพื้นฐานแล้วการรักษาความปลอดภัยทางไซเบอร์เป็นศิลปะ มันไม่ใช่วิทยาศาสตร์ มันยังไม่ใช่ศาสตร์ที่วัดผลได้ และจนกว่าจะเป็นแบบนั้น ก็จะไม่มีทางได้รับการจัดสรรทรัพยากรที่เหมาะสม
Tom Temin:และไม่มีโมเดลของภาคเอกชนสำหรับสิ่งนี้ เช่น จากภาคพลังงานหรือภาคการธนาคารบางแห่งที่มีความเสี่ยงด้านความปลอดภัยทางไซเบอร์เท่ากัน
พอล โรเซนซไวก์: โดยพื้นฐานแล้วไม่มี สิ่งหนึ่งที่ฉันทำตั้งแต่เนิ่นๆ ในการศึกษาปัญหานี้คือการลองและสำรวจวิธีการต่างๆ ทั้งหมดที่ผู้คนใช้เมตริกเพื่อพยายามและยืนยันการปรับปรุงด้านความปลอดภัยในโลกไซเบอร์ เพื่อนร่วมงานของฉันที่ R Street, Kathryn Waldron ได้รวบรวมบรรณานุกรมของวิธีการต่างๆ ทั้งหมด ซึ่งมีสี่หรือห้าโหล ซึ่งไม่มีความเห็นตรงกัน ไม่มีวิธีการใดที่สอดคล้องกัน ซึ่งทั้งหมดนี้เป็นแบบ ที่เป็นกรรมสิทธิ์ของบริษัทต่างๆ สิ่งที่เราทำตอนนี้ส่วนใหญ่คือการรักษาความปลอดภัยทางไซเบอร์ตามรายการตรวจสอบ จริงไหม? ฉันให้รายการสิ่งที่ต้องทำแก่คุณและคุณทำเครื่องหมายในช่องทั้งหมด เหมือนกับ FISMA, Federal Information Security Management Act และนั่นทำให้คุณมีรายงานดีๆ ที่คุณวางไว้บนโต๊ะทำงาน และคุณจะไม่เปิดดูอีกเลย ไม่มีวิธีการแบบไดนามิกในการทำ ในความเป็นจริง, เมื่อเราทำแบบสำรวจนี้ มีคนส่วนน้อยจำนวนมากที่กล่าวว่าเป็นไปไม่ได้ที่จะทำ อาณาจักรไซเบอร์นั้นเปลี่ยนแปลงตลอดเวลา ความพยายามใดๆ ในการวัดความปลอดภัยขององค์กร ณ เวลาใดเวลาหนึ่งนั้นต้องล้าสมัยก่อนที่การวัดจะเสร็จสมบูรณ์ด้วยซ้ำ ซึ่งค่อนข้างน่ากลัว ฉันหมายถึง เมื่อคุณลองคิดดู ความจริงที่ว่าเราจะพึ่งพา 25% ของเศรษฐกิจของเราในพื้นที่หนึ่งๆ ซึ่งเป็นภาคส่วนที่ความปลอดภัยไม่สามารถวัดได้อย่างเด็ดขาด นั่นเป็นเรื่องที่ค่อนข้างน่ากลัวทีเดียวจากมุมมองของนโยบาย เปลี่ยนแปลงตลอดเวลาจนความพยายามใดๆ ในการวัดความปลอดภัยขององค์กร ณ เวลาใดเวลาหนึ่งต้องล้าสมัยก่อนที่การวัดจะเสร็จสมบูรณ์ด้วยซ้ำ ซึ่งค่อนข้างน่ากลัว ฉันหมายถึง เมื่อคุณลองคิดดู ความจริงที่ว่าเราจะพึ่งพา 25% ของเศรษฐกิจของเราในพื้นที่หนึ่งๆ ซึ่งเป็นภาคส่วนที่ความปลอดภัยไม่สามารถวัดได้อย่างเด็ดขาด นั่นเป็นเรื่องที่ค่อนข้างน่ากลัวทีเดียวจากมุมมองของนโยบาย เปลี่ยนแปลงตลอดเวลาจนความพยายามใดๆ ในการวัดความปลอดภัยขององค์กร ณ เวลาใดเวลาหนึ่งต้องล้าสมัยก่อนที่การวัดจะเสร็จสมบูรณ์ด้วยซ้ำ ซึ่งค่อนข้างน่ากลัว ฉันหมายถึง เมื่อคุณลองคิดดู ความจริงที่ว่าเราจะพึ่งพา 25% ของเศรษฐกิจของเราในพื้นที่หนึ่งๆ ซึ่งเป็นภาคส่วนที่ความปลอดภัยไม่สามารถวัดได้อย่างเด็ดขาด นั่นเป็นเรื่องที่ค่อนข้างน่ากลัวทีเดียวจากมุมมองของนโยบาย
