前100天:构建我们的互联未来 点击了解更多

X
作者

罗伯特·梅耶

致国会的网络安全信息:规模问题

2017年11月1日

在当今高度互联的数字经济中,组织的价值通常取决于其管理和保护在内部和外部网络中收集,存储和移动的信息的能力。当这些备受推崇的数字资产被盗或管理其使用的系统受到威胁时,公司可能会面临无法估量的伤害。以经济有效的方式减轻此类风险的能力可能是组织当今面临的最紧迫的挑战之一,对于中小型企业尤其如此。

A 调查 去年,由著名的Ponemon研究所进行的这一细分活动中,大多数受访者担心,对其公司的网络攻击变得越来越有针对性,复杂而严厉。引起关注的主要原因是,只有14%的受访者将其组织评为在减轻风险,漏洞和对企业的攻击方面“有效”。

上周,我有机会在闭门会议上向众议院科学,太空和技术委员会的成员作了简要介绍,重点讨论了影响中小企业的独特情况。我指出,小型公司现在正面临许多大型企业面临的许多复杂威胁,但是却缺乏大型规模经济和规模经济所带来的资源。勒索软件只是犯罪企业如何以最低成本扩展其目标的一个示例。例如, 勒索软件 现在可以在Internet的Dark Web上购买“服务即服务(RaaS)”,其中一些服务有望以30种不同的语言发送赎金电子邮件。

规范性的法规不能与不良行为者使用的技术和工具保持一致,只有政府和企业在适当的情况下提供援助和指导的一致努力才能奏效。在活动期间,我赞扬立法者支持立法,该立法将使美国国家标准技术研究院(NIST)将资源集中于帮助中小型企业更好地管理(尽管不能消除)其网络安全风险并为诸如国土安全部’(DHS)为关键基础设施实体提供网络安全评估和建议的工作。

我分享了USTelecom与联邦通信委员会的通信安全可靠性和互操作性委员会(CSRIC)共同领导的具有里程碑意义的工作的重要性,以使NIST网络安全框架适应广播,电缆,卫星​​,无线和有线行业领域。在这一年的努力中,涉及100多名网络安全专业人员, 报告 制定了针对中小型公司的指南。

美国电信继续通过网络安全风险管理积极支持中小型宽带服务提供商。我们最近成立了一个新的中小企业网络安全委员会,旨在与我们的成员共享有关网络和企业网络威胁以及缓解技术的信息。该小组还将研究已证明具有成本效益的工具和通用做法,并分享在核心风险管理功能方面吸取的经验教训,例如:识别,预防,检测,响应并从网络攻击中恢复。

作为网络安全意识月的一部分,我们发布了更新版 网络安全工具包 其中还包括针对此数字生态系统这一部分的具体指南。在线工具包提供了由小型企业协会管理局,FCC,联邦贸易委员会和其他机构为中小型社区开发的指南。我们希望USTelecom在网络安全生态系统中的领导地位,我们与行业和政府的合作努力以及工具和资源的不断开发,将有助于减轻许多小型公司的担忧。