แนวทางล่าสุดของ National Institute of Standards and Technology สำหรับระบบที่น่าเชื่อถือทางวิศวกรรมถือว่าการรักษาความปลอดภัยเป็น “คุณสมบัติฉุกเฉิน” ผู้เขียนนำในสิ่งพิมพ์กล่าวว่าองค์กรต่างๆ ไม่สามารถถือว่าการรักษาความปลอดภัยเป็นเรื่องภายหลังได้อีกต่อไป เนื่องจากอุปกรณ์ไอทีทำหน้าที่สำคัญมากขึ้นในระบบควบคุมอุตสาหกรรมและเครือข่ายที่สำคัญอื่นๆNIST เปิดตัวร่างแก้ไขของ Special Publication 800-160, “Engineering Trustworthy Secure Systems” ในเดือนมิถุนายน หน่วยงานจะสรุปเอกสารหลังจากได้รับความคิดเห็นจากประชาชน
ในขณะที่องค์กรต่าง ๆ เริ่มตระหนักว่าพวกเขาไม่สามารถ “ยึด”
การรักษาความปลอดภัยเข้ากับระบบของตนได้หลังจากความจริงแล้ว เอกสารเผยแพร่ใหม่ของ NIST นำเสนอหลักการออกแบบความปลอดภัยที่หลากหลายซึ่งวิศวกรสามารถใช้ได้ตลอดวงจรชีวิตของระบบ ตามคำกล่าวของ Ron Ross ผู้อาวุโส เพื่อนที่ NIST และหนึ่งในผู้เขียนหลักของการแก้ไข NIST 800-160
‘คุณหวังว่าหลังจากใช้ข้อพิจารณาด้านความปลอดภัยเหล่านี้แล้ว คุณจะมีระบบที่ตรงกับความคาดหวังของคุณ’ Ross กล่าวในการให้สัมภาษณ์กับ Special Bulletin Review “คุณต้องการการปกป้องมากแค่ไหน? คุณเต็มใจที่จะสูญเสียมากแค่ไหน? และคุณได้ออกแบบระบบอย่างเหมาะสมเพื่อให้สิ่งเหล่านี้เกิดขึ้นจริงในระดับความเชื่อมั่นหรือการรับประกันที่คุณต้องการหรือไม่?
การรักษาความปลอดภัยเสมือนเป็น “คุณสมบัติของระบบฉุกเฉิน” ช่วยให้วิศวกรไม่เพียงแค่คิดว่าพวกเขาต้องการให้ระบบทำงานอย่างไร พวกเขากำลังคิดเกี่ยวกับผลลัพธ์ประเภทใดที่พวกเขาต้องการหลีกเลี่ยง
“เราสร้างสะพานและเครื่องบิน และสิ่งต่างๆ ที่ต้องมีความน่าเชื่อถือในระดับสูง” รอสส์กล่าว “เราสามารถทำได้ด้วยความปลอดภัยเช่นกัน”
Ross เป็นผู้นำด้านความปลอดภัยทางไซเบอร์มายาวนานที่ NIST กล่าวว่าข้อกำหนดด้านวิศวกรรมนั้นขับเคลื่อนโดยผู้มีส่วนได้ส่วนเสียที่ซื้อและใช้ระบบในที่สุด และในหลายกรณี ผู้ใช้จะยังคงเชื่อถือข้อมูลและการทำงานของตนในระบบที่ “ไม่น่าเชื่อถือ”
แต่ตอนนี้ Ross กล่าวว่า “การบรรจบกันทางไซเบอร์และกายภาพ”
ที่เพิ่มขึ้นอาจบังคับให้เกิดการเปลี่ยนแปลงในการสนทนา ระบบอุตสาหกรรมและเทคโนโลยีการดำเนินงานทำงานบนซอฟต์แวร์มากขึ้นเรื่อยๆ ในขณะที่อุปกรณ์ที่สำคัญเหล่านี้มีการเชื่อมต่อถึงกันมากขึ้นผ่าน “Internet of Things”
“นั่นคือสิ่งที่ทำให้การสนทนานี้มีความสำคัญมากกว่าเมื่อ 5-10 ปีที่แล้วด้วยซ้ำ” เขากล่าว
การอัปเดตสิ่งพิมพ์ด้านวิศวกรรมของ NIST ชี้ให้เห็นว่าการดูความปลอดภัยเป็นคุณสมบัติของระบบที่เกิดขึ้นใหม่สามารถอำนวยความสะดวกใน “การตัดสินใจเกี่ยวกับพื้นที่การค้าที่ครอบคลุมเนื่องจากผู้มีส่วนได้ส่วนเสียจัดการกับปัญหาด้านต้นทุน ตารางเวลา และประสิทธิภาพอย่างต่อเนื่อง ตลอดจนความไม่แน่นอนที่เกี่ยวข้องกับความพยายามในการพัฒนาระบบ” ตาม หน่วยงาน.
ท้ายที่สุดแล้ว ความซับซ้อนในระบบและองค์กรต่างๆ สามารถทำให้ “เป็นการยากที่จะเข้าใจวิธีการเชื่อถือส่วนประกอบของระบบแต่ละส่วน” Ross กล่าว
“และนั่นคือสาเหตุที่ต้องกำจัดสิ่งที่ไม่จำเป็นทั้งหมด และลดสิทธิพิเศษที่ผู้คนมีต่อสิ่งที่จำเป็นเท่านั้น” เขากล่าวต่อ “นั่นคือสองขั้นตอนแรกในการรับมือกับองค์กรที่ซับซ้อนมาก . . เมื่อระบุสินทรัพย์เหล่านั้นแล้ว คุณสามารถเริ่มทำงานให้ดีขึ้นโดยใช้หลักการออกแบบเหล่านั้นและสิ่งต่างๆ ที่จำเป็นในการสร้างระบบ ซึ่งเมื่อเข้าสู่กระบวนการดังกล่าวแล้ว จะสามารถแสดงหลักฐานว่าเชื่อถือได้ในระดับใดก็ตาม คุณต้องการ”
หลักการและเทคนิคการออกแบบความปลอดภัยทางไซเบอร์มีมากขึ้นสำหรับวิศวกรระบบและเจ้าของ เมื่อต้นปีที่ผ่านมา NIST ได้เผยแพร่ Secure Software Development Framework ซึ่งจะช่วยแนะนำหน่วยงานในขณะที่พวกเขาทำงานเพื่อให้บรรลุเป้าหมายตามคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์เมื่อปีที่แล้ว
Ross มองเห็นการสร้างโมเมนตัมในความพยายามที่จะย้ายการรักษาความปลอดภัยไปสู่การออกแบบ
“ผมคิดว่านี่คือสิ่งที่ผมเรียกว่าเหตุการณ์แผ่นดินไหวหรือการเปลี่ยนแปลงของน้ำทะเล เพราะเป็นเวลานานแล้วที่ความปลอดภัยในโลกไซเบอร์อยู่ในไซโลหรือท่อเตา” เขากล่าว “มันเป็นโดเมน [หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูล] และเราต้องย้ายสิ่งนั้นออกไปในที่ที่คุณสามารถส่งผลต่อการเปลี่ยนแปลงได้”
credit : ฝากถอนไม่มีขั้นต่ำ
