メーカーがサイバーセキュリティについて今知っておくべきこと— PatTothへのインタビュー

サイバー攻撃の数は増え続けており、サイバー犯罪者はますます決意を固めています。企業は、急速に変化するデジタル環境において、紛らわしい技術ガイダンスをナビゲートしようとするままになっています。小規模な製造業者は、自社がリスクにさらされているとは思わないことがよくあります。結局のところ、ターゲットとする大企業があるのに、なぜ誰かが小さな田舎のメーカーをターゲットにしたいのでしょうか。

何が起こっているのかを理解し、サイバーセキュリティについてメーカーが本当に知る必要があることを知るために、私はPatTothと話をしました。 Patは、NIST Manufacturing Extension Partnershipのコンピューターサイエンティストであり、30年以上のサイバーセキュリティの経験があり、多数のNISTサイバーセキュリティガイダンスドキュメントに取り組んできました。

質問：他の業界と比較した場合、メーカーは本当にサイバー攻撃のリスクにさらされていますか？もしそうなら、なぜですか？

パット： 米国国土安全保障省によると、製造業は、報告されたサイバー攻撃の数に基づいて2番目にターゲットを絞った業界です。

小規模なメーカーは、より大きなサプライチェーンへの容易な入り口と見なされているため、特に脆弱だと思います。このように考えてください：あなたが犯罪者であり、建物に侵入してそれを奪うことを計画している場合、監視装置、警報システム、警備員がいる建物に侵入しようとしますか、それとも標的にする可能性が高くなりますか？これらのセキュリティ機能のいずれも備えていない建物ですか？通常は後者です。そのため、サイバー犯罪者は特にメーカーを標的にしています。残念ながら、多くの中小企業は、彼らが標的であるとは考えていないため、適切なセキュリティ対策を講じていません。

サイバー犯罪者はあなたの知的財産（IP）に興味を持っているかもしれませんし、あなたが誰と働いているか、誰を雇っているのかについての情報にアクセスしたいと思うかもしれません。 Targetの2013年の顧客データ侵害は、この最もよく知られた事例の1つです。彼らのHVACシステムプロバイダーは、ハッカーがこのHVACプロバイダーを介してターゲットのシステムにアクセスできることを知っていたため、サイバー犯罪者によって意図的に標的にされました。データ漏えいにより、何百万もの人々のクレジットカード情報が盗まれました。

質問：中小規模のメーカー（SMM）が主なターゲットであることが多く、リソースが限られていることを考えると、これらのSMMは何ができるでしょうか。

パット： 複雑で、おそらく少し圧倒されるように思えるかもしれませんが、SMMで実行できることは、低コストから無料で、実装が簡単です。

結局のところ、ポリシーを導入し、従業員を教育することです。さまざまな調査によると、従業員はすべての企業のセキュリティにおいて最も脆弱な点の1つです。ほとんどの従業員は、手遅れになるまで、何に注意する必要があるのか​​、潜在的または実際のサイバーインシデントを特定する方法を知らないだけです。企業は、従業員がサイバー犯罪者の戦術とサイバーインシデントの防止において果たす重要な役割を理解できるように、定期的にコミュニケーションをとる必要があります。

たとえば、会社では、職場でのソーシャルメディアの使用に関するポリシーを設定する必要があります。一部の従業員は、就業時間中にソーシャルメディアにアクセスすることを期待します。企業が直面するバランスの取れた行動があります-従業員がソーシャルメディアにアクセスできるようにし、システムを保護します。では、どうやってそれを行うのですか？ポリシーを設定します。ポリシーは、会社のシステムでのソーシャルメディアの使用を許可しないというものかもしれません。おそらく、会社をリスクにさらさないように、人々が1日を通してソーシャルメディアにアクセスできるように、独立した半公開のネットワークを提供します。ポリシーが何であれ、従業員がそれを認識していることを確認し、ポリシーが存在する理由と、ポリシーに違反した場合の潜在的な結果を理解してください。

質問：メーカーが実装できる無料および低コストのソリューションがあると聞いてうれしいです。企業がサイバーセキュリティを改善する準備ができている場合、どこから始めるべきですか？

パット： NIST Cyber​​securityFrameworkとNISTIR7621 Small Business Information Security：TheFundamentalsを確認することから始めます。サイバーセキュリティフレームワークは、サイバーセキュリティ関連のリスクを管理するための標準、ガイドライン、およびベストプラクティスで構成されています。これは、システムを保護するための優先順位が付けられた、柔軟で費用効果の高いアプローチを提供します。中小企業の情報セキュリティ：基本はサイバーセキュリティフレームワークに基づいており、技術的なバックグラウンドを持たない可能性のある企業の意思決定者に、より管理しやすい概要を提供します。また、セキュリティ機能を評価して優先順位を付ける方法にも焦点を当てています。

はじめに、フレームワークにあるものの概要を以下に示します。

最初のステップは特定です 。会社にとって最も価値のある情報を特定します。これは、紛失または変更された場合に操作を停止させる情報です。たとえば、あなたが食品メーカーで、祖母のレシピを使用してチョコレートチップクッキーを作っているとします。そのレシピはあなたのビジネスに不可欠であり、あなたのビジネスが継続できるように盗難や改造から保護されるべきです。

2番目のステップは保護です 。あなたはマネージャーやスタッフと話し合い、このフィードバックを使用して、会社にとって最も重要な情報を特定しました。次に、その情報を適切に保護するために何をする必要があるかを決定します。この手順は、ビジネスに固有の脅威と脆弱性に大きく依存しています。対面または電話で顧客と協力するだけの小規模企業は、電子メールやWebポータルを介してビジネスを行う企業ほど保護する必要はありません。どのような保護を実施する必要があるかは、実際にはオペレーティング環境によって異なります。

3番目のステップは検出です 。サイバーインシデントがいつ発生したかを検出できる必要があります。最新のスパイウェア対策、ウイルス対策、侵入検知システムを導入する必要があります。また、物理的なスペースも考慮する必要があります。人々がアクセスしてはいけないエリアにアクセスしたときにアラートを受け取る必要があるかどうかなどを検討してください。インシデントがデジタルであろうと物理的なものであろうと、インシデントがいつ発生したか、そしてその人が何にアクセスしたかを知ることが重要です。

4番目のステップは応答です 。サイバーインシデントが発生した場合、企業は潜在的な損害を軽減するために迅速に対応する必要があります。何かが起こる前に計画を立てる必要があります。計画には、責任者と、何かが発生したときに連絡する必要がある人を含める必要があります。また、従業員は営業時間中および営業時間後にプランにアクセスする方法を知っている必要があります。

年に数回避難訓練を行ったとき、小学校に戻ったことを覚えていますか？これらのファイアドリルと同様に、会社は定期的にサイバーインシデント対応を実施して、サイバーインシデントが発生した場合に従業員が何をすべきかを正確に把握できるようにする必要があります。

5番目の最後のステップは回復です 。システムを回復できるように、定期的なバックアップを実行する必要があります。これらのバックアップは、別の場所またはクラウドに保存する必要があります。バックアップをテストする必要があります。バックアップ情報をテストしないと、イベントから完全に回復できるかどうかを確認できません。バックアップのテストを決定する頻度は、情報が会社の業務にとってどれほど重要であるかに基づいて決定する必要があります。

これは「万能」の状況ではなく、会社とその文化に適したものを決定する必要があります。ある会社では、1年に1回のテストで十分かもしれません。別の会社の場合、週に1回テストする必要があるかもしれません。聞くのは簡単な答えではありませんが、実際には、システムを調べて脆弱な場所を確認し、直面している脅威とそれらに対抗する方法を知る必要があります。

質問：私の会社が適切な安全対策を講じており、対応計画を作成したとします。次は何ですか？

パット： これは「1つで完了した」アクティビティではありません。対応計画を作成して棚に置くことはできません。これは生きた文書でなければなりません。誰もがあなたのサイバーセキュリティの姿勢と、それを改善し続ける方法を知る必要があります。

新しい機器を購入したり、新しい従業員を雇ったりするたびに、これらの活動がセキュリティにどのように影響するかを考える必要があります。中小企業の場合、これは難しい場合があります。会社が急速に成長し、すべての人があらゆる情報にアクセスする必要があるわけではないことを忘れてしまうことがよくあります。しばらく時間がかかる場合がありますが、管理者は従業員のリストを調べて、アクセスできるものとできないものを確認する必要があります。製造現場の誰かが給与情報にアクセスする必要はありません。役割を定義し、それらの役割の分離を実装することは難しい場合がありますが、サイバー脅威から会社を保護するために必要です。

サイバーセキュリティと品質には、採用に関して多くの類似点があると思います。多くの企業はISO9000のような品質システムの採用に時間がかかりました。品質の主要な要素は企業の考え方です。サイバーセキュリティは、IT担当者やサイバー担当者だけに追いやられているわけではありません。会社のあらゆるレベルのすべての従業員には、何らかの形の責任があります。サイバーセキュリティを効果的にするには、品質と同じように、企業文化の一部である必要があります。

質問：会社のサイバーリスクを軽減するために従業員ができることについて、従業員を教育するための情報はどこにありますか？

パット： NIST MEP Cyber​​securityResourceのWebページにアクセスします。このページには、（NISTのサイバーセキュリティフレームワークに基づいて）会社のサイバーリスクのレベルを自己評価するために使用できる簡単な自己評価ツールを含む多くのリソースがあります。自己評価は、会社の弱点がどこにあるのか、そして弱点を改善するためにリソースをどこに集中させるのかを判断するのに役立ちます。お客様の情報を追跡したり、結果を保持したりすることはありません。評価を受けた後、あなたはあなたのサイバーセキュリティの取り組みに関してあなたの弱点がどこにあるかを知ることができるようにスコアを受け取ります。また、MEP National Network ^TM の一部である、50州すべてとプエルトリコにある51のMEPセンターの1つに連絡することもできます。 質問や支援のために。