अंतिम गिरावट, राष्ट्रपति जो बिडेन ने इतिहास में सबसे बड़े बुनियादी ढांचे के पैकेजों में से एक कानून में हस्ताक्षर किए, देश के पुलों को बेहतर बनाने, जलवायु लचीलापन में मदद करने, ग्रामीण क्षेत्रों में ब्रॉडबैंड इंटरनेट लाने और पानी और ऊर्जा प्रणालियों को अपग्रेड करने के लिए $ 1 ट्रिलियन से अधिक का आवंटन किया। इंफ्रास्ट्रक्चर इन्वेस्टमेंट एंड जॉब्स एक्ट में साइबर सुरक्षा के लिए लगभग 2 बिलियन डॉलर शामिल हैं, जिनमें से आधा राज्य, स्थानीय और आदिवासी सरकारों के लिए अनुदान कार्यक्रम में जाता है।

साइबर सिक्योरिटी फंडिंग ऐसे समय में आती है जब पाइपलाइन, पावर ग्रिड, वाटर सिस्टम और स्थानीय सरकारों के पास रैंसमवेयर गिरोह से लेकर परिष्कृत राज्य अभिनेताओं तक के विभिन्न विरोधी होते हैं। पैसा उन्हें कमजोर सुरक्षा प्रथाओं से संक्रमण में मदद करने और उन्नत सुरक्षा मॉडल, जैसे कि शून्य विश्वास को लागू करने में मदद करने के लिए है।

विशेष रूप से, सरकारी फंड सीमित संसाधनों वाले छोटे संगठनों की मदद कर सकते हैं – विशेष रूप से ग्रामीण क्षेत्रों में स्थित, माइक हैमिल्टन, क्रिटिकल इनसाइट में सीआईएसओ और सिएटल शहर के पूर्व सीआईएसओ कहते हैं। “डॉलर को मुख्य रूप से स्थानीय सरकारों को स्वच्छता की एक बुनियादी स्थिति में लाने पर ध्यान केंद्रित किया जाना चाहिए क्योंकि कई मानकों से बहुत पीछे हैं,” वे कहते हैं।

महत्वपूर्ण बुनियादी ढांचा क्षेत्र (जैसे ऊर्जा, परिवहन, कृषि और वित्त, कुछ नाम रखने के लिए) में काम करने वाली स्थानीय सरकारें और निजी संस्थाएं अपनी साइबर सुरक्षा पहलों के बारे में सोचना शुरू कर रही हैं और इन अनुदानों के लिए आवेदन कर रही हैं। जबकि कोई सार्वभौमिक खरीदारी सूची नहीं है, विशेषज्ञ इन फंडों के लिए आवेदन करने की तैयारी करते समय विचार करने के लिए कई प्राथमिकताओं का उल्लेख करते हैं।

खरीदारी की सूची बनाना

किसी भी प्रकार की साइबर सुरक्षा योजना को सभी संपत्तियों की एक सूची और जोखिम मूल्यांकन के साथ शुरू करने की आवश्यकता है – और संघीय वित्त पोषण के लिए आवेदन करना अलग नहीं है। दक्षिणी कैलिफोर्निया के मेट्रोपॉलिटन वाटर डिस्ट्रिक्ट के सीआईएसओ जेक मार्गोलिस कहते हैं, उन निष्कर्षों से संगठन को क्या चाहिए, साथ ही साथ विभिन्न प्रकार की प्रबंधित सेवाओं से शुरू होने वाली अतिरिक्त आवश्यकताओं को उजागर करना होगा। वह 24/7 काम करने वाली प्रबंधित पहचान और प्रतिक्रिया सेवाओं, रखरखाव कार्यों को आउटसोर्सिंग और घटना प्रतिक्रिया का सुझाव देता है।

हैमिल्टन कहते हैं कि स्थानीय सरकारों को निवारक नियंत्रणों के साथ तेजी से आना चाहिए जो कि जगह में नहीं हो सकते हैं। “यह जोखिम अभिव्यक्ति में ‘खराब परिणाम की संभावना’ शब्द को खरीद देगा,” वे कहते हैं।

डेटा एनालिटिक्स तकनीक भी सूची में उच्च दिखाई देनी चाहिए।

“मैं शासन के जोखिम और अनुपालन प्लेटफार्मों को एक साथ जोड़ने के लिए पैसा खर्च करूंगा, सिएम [security information and event management] और SOAR [security orchestration automation and response] प्रौद्योगिकी, ताकि मैं अपने जोखिम मुद्रा के आधार पर अधिक पूर्वानुमानित विश्लेषण प्राप्त कर सकूं,” मार्गोलिस कहते हैं। “जब आपके पास वे उपकरण एक दूसरे से बात कर रहे होते हैं, तो आप विभिन्न स्रोतों से जानकारी खींच रहे होते हैं … जो आपको यह समझने की अनुमति देता है कि आप क्या कर रहे हैं विरुद्ध तैयार।”

मार्गोलिस लोगों के नेटवर्क का उपयोग करने के तरीके को बदलने पर भी पैसा खर्च करेगा, जिसका लक्ष्य “एक अच्छी तरह से सामंजस्यपूर्ण शून्य-विश्वास वास्तुकला” है, हालांकि वह मानते हैं कि यह हासिल करना कठिन और महंगा है। “मैं इस पर सारा पैसा खर्च कर देता,” वे कहते हैं।

फिर भी, कर्मचारियों को प्रशिक्षित करना और संस्कृति को बदलना महत्वपूर्ण है, जिससे विभिन्न विभागों में प्रौद्योगिकी पेशेवरों को उनके सुरक्षा कौशल को उन्नत करने में मदद मिलती है।

जबकि अनुदान अनुप्रयोगों में बहुत सारे उत्पाद और सेवाएं शामिल हो सकती हैं – एंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) प्लेटफॉर्म से, एप्लिकेशन व्हाइटलिस्टिंग टेक्नोलॉजीज से लेकर एसेट मैनेजमेंट सॉफ्टवेयर तक – ये टूल सुरक्षा प्रतिभा की कमी की भरपाई नहीं कर सकते हैं। विशेषज्ञों को काम पर रखना और उन्हें बनाए रखना बुनियादी ढांचा क्षेत्र के सबसे महत्वपूर्ण मुद्दे हैं जिनसे जूझना पड़ता है।

“वह नंबर 1 होगा” [on the list], लेकिन हम उसे ‘खरीद’ नहीं सकते,” वे कहते हैं। “यह कानून में शामिल नहीं है।”

मानकों का पालन करें
इंफ्रास्ट्रक्चर इन्वेस्टमेंट एंड जॉब्स एक्ट की साइबर सिक्योरिटी फंडिंग कुछ नियमों के साथ जुड़ी हुई है। संगठन जो अनुदान के लिए आवेदन करना चाहते हैं, “कर्मचारियों को काम पर नहीं रख सकते / भुगतान नहीं कर सकते, मौजूदा लागतों की आपूर्ति नहीं कर सकते,” हैमिल्टन कहते हैं। उन्हें संघीय अनुदानों द्वारा अनिवार्य लागतों के लिए तैयार रहने और समय के साथ अपना हिस्सा बढ़ाने के लिए भी तैयार रहने की आवश्यकता है।

अनुदान आवेदन लिखते समय एक रणनीति यह सुनिश्चित करना है कि मूल बातें शामिल हैं।

“[M]सिक्योरवर्क्स काउंटर थ्रेट यूनिट के वरिष्ठ सुरक्षा शोधकर्ता क्रिस यूल कहते हैं, “यदि सुरक्षा बुनियादी बातों को ठीक से किया गया होता, तो बाहरी घटनाओं को रोका जा सकता था – कमजोरियों की पहचान करना, सिस्टम को पैच करना, बाहरी पहुंच के लिए मल्टीफैक्टर प्रमाणीकरण का उपयोग करना और असामान्य गतिविधि का पता लगाने के लिए उपयुक्त उपकरणों का उपयोग करना।” किसी भी संगठन के लिए अपनी सुरक्षा स्थिति का मूल्यांकन करने के लिए हमेशा शुरुआती बिंदु होना चाहिए।”

यूल ने सिफारिश की है कि संगठन एक समग्र दृष्टिकोण अपनाएं और राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) द्वारा निर्धारित साइबर सुरक्षा फ्रेमवर्क जैसे तरीकों का पालन करें, जो “बोर्ड भर में साइबर सुरक्षा परिपक्वता बढ़ाने का एक अच्छी तरह से स्थापित तरीका है,” वे कहते हैं।

एनआईएसटी ढांचे के अलावा, स्थानीय सरकारें और महत्वपूर्ण बुनियादी ढांचा क्षेत्र सार्वजनिक खरीद या साइबर सुरक्षा परिपक्वता मॉडल प्रमाणन (सीएमएमसी) के लिए संघीय अधिग्रहण विनियमन (एफएआर) में निर्धारित आधारभूत साइबर सुरक्षा दिशानिर्देशों को भी देख सकते हैं, रजवान ई। मिउटेस्कु कहते हैं, ए व्हाइटफोर्ड, टेलर और प्रेस्टन एलएलपी में भागीदार, जहां वह गोपनीयता और डेटा सुरक्षा, डेटा प्रबंधन और अनुपालन में माहिर हैं।

“प्रभावी रूप से, इंफ्रास्ट्रक्चर इन्वेस्टमेंट एंड जॉब्स एक्ट स्वैच्छिक मानकों को बताता है [i.e., NIST and CMMC] कानूनी और तकनीकी आवश्यकताओं के रूप में,” वे कहते हैं। “इन मानकों से विचलन को साइबर सुरक्षा योजनाओं के विकास और संशोधन में स्पष्ट रूप से प्रलेखित और समझाया जाना चाहिए, इसलिए यह समझना महत्वपूर्ण है कि इन मानकों में मूल रूप से क्या शामिल है।”

अनुदान आवेदन के निर्माण के लिए सलाह
स्थानीय सरकारों और महत्वपूर्ण बुनियादी ढांचे के लिए काम करने वाले सुरक्षा विशेषज्ञों का कहना है कि एक सामान्य दृष्टिकोण सबसे प्रभावी हो सकता है। जबकि उपयोगिताओं और इलेक्ट्रिक ग्रिड अद्वितीय चुनौतियों का सामना करते हैं, अधिकांश सुरक्षा घटनाएं किसी भी नेटवर्क घुसपैठ की तरह ही शुरू होती हैं जिसे एक मजबूत सुरक्षा कार्यक्रम के साथ टाला जा सकता है।

यूल कहते हैं, “‘उन्नत तकनीकों’ पर ध्यान केंद्रित करना अक्सर इसके लिए एक स्मोकस्क्रीन हो सकता है।”

एक साइबर सुरक्षा योजना एक विज्ञान-कथा उपन्यास नहीं बल्कि एक यथार्थवादी परियोजना होनी चाहिए, जो संगठन के संसाधनों को ध्यान में रखती है।

“यदि नए चमकदार उपकरण खरीदने से पहले पर्याप्त स्टाफिंग, चल रहे रखरखाव लागत, चल रहे प्रशिक्षण आदि जैसी वस्तुओं पर विचार नहीं किया जाता है … अल्बुकर्क बर्नालिलो काउंटी वाटर यूटिलिटी अथॉरिटी में सीआईएसओ क्रिस्टन सैंडर्स कहते हैं, “वास्तव में वे वास्तव में बेहतर स्थिति में हैं।” “कोई सिल्वर बुलेट समाधान नहीं है, और लाभ हमेशा कार्यान्वयन की लागत के लायक नहीं होता है।”

विचार करने के लिए कानूनी पहलू भी हैं, विशेष रूप से कुछ संसाधनों वाले संगठनों द्वारा जो पैसे खोने का जोखिम नहीं उठा सकते हैं। हैमिल्टन कहते हैं, “कानूनी तौर पर, वेंडरों पर उत्पाद सुरक्षा के लिए जिम्मेदारी स्थानांतरित करने और देयता को स्थानांतरित करने के लिए खरीद और अनुबंध प्रक्रियाओं पर काम करें।” “वार्षिक विक्रेता जोखिम प्रबंधन का संचालन शुरू करें।”

अंत में, जो लोग इंफ्रास्ट्रक्चर इन्वेस्टमेंट एंड जॉब्स एक्ट के तहत संघीय फंडिंग तक पहुंच चाहते हैं, उन्हें यह ध्यान रखना चाहिए कि कानूनी आवश्यकताओं को पूरा करने में विफलता के परिणामस्वरूप “अनुबंध के निजी उल्लंघन की तुलना में कहीं अधिक अशुभ परिणाम” हो सकते हैं, मिउटेस्कु कहते हैं। “आवेदन एक प्रक्रिया की शुरुआत है और वित्त पोषित संगठनों के लिए व्यवसाय करने का एक बहुत अलग तरीका क्या हो सकता है, इसके लिए दीर्घकालिक प्रतिबद्धता की आवश्यकता होगी।”

जबकि सुरक्षा विशेषज्ञ कानून का स्वागत करते हैं, वे चिंता करते हैं कि फंडिंग शायद ही पर्याप्त हो, यह देखते हुए कि अमेरिका में लगभग 90,000 स्थानीय सरकारें हैं।

“चीजों की भव्य योजना में, साइबर सुरक्षा केवल बुनियादी ढांचे के बिल के बजट का लगभग 0.2% बनाती है – हाँ, यह 2 के सामने एक दशमलव है, इसलिए 1% भी नहीं,” सैंडर्स कहते हैं। “ऐसा लगता है कि इतनी बड़ी समस्या के लिए एक बहुत छोटा प्रतिशत है।”


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here