对于想要在竞争中脱颖而出的小型制造商来说,有一个好消息:国防部宣布推迟网络安全成熟度模型认证(CMMC),这或许会对其有所帮助。国防部给了小型制造商一个千载难逢的机会,让小型制造商可以在其他公司都在摇摆不定的时候迅速调整方向。
如果竞争对手是为国防部提供服务的中小型企业,他们的担忧与你的担忧没有太大区别。他们可能意识到CMMC即将发布新规范,但这是一个IT问题,尤其与人工短缺、供应链、通货膨胀等问题相比,它并不是首要关注的问题。他们知道网络安全很重要,但它与运营无关——就像在大楼里安装锁或报警器一样。当然,CMMC确实要发布新规范,但看起来并不紧急。因为每当最后期限临近时,总会继续向后推迟。这就像是在公海的某个地方形成了一场飓风;它可能正朝着我们的方向移动,所以我们会密切关注它,并希望它在登陆前消散或转向。
众所周知,等到飓风摧毁了当地的大部分电网时再去买发电机就为时已晚了。
虽然国防部制定了CMMC2.0的细节和时间安排,很容易预测其基础要素。正如Bob Dylan所说,“你不需要气象员就能知道风向。”最终,在截止日期之前,CMMC的规范将出现在越来越多的联邦合同中。显然,那些已经采取相关合规措施的公司将更容易获得认证,但合规并不是网络安全的唯一商业利益。尽管这听起来很奇怪,但认证本身可能是最不重要的——至少现在是这样。
相较大多数竞争对手,公司所具备的优势在于能更早地了解、记录和建立对数字环境和流程的基本保护。这听起来可能需要很多工作,但本质上是清点清单,确定最重要的项目和最大的威胁,并妥善保护它们。
它就是最基本的安全
与其将CMMC视为另一套法规,我们鼓励客户将其视为最基本安全的说明——类似于ISO制定基本质量标准的方式。你可能已经通过了ISO认证,但并没有任何法规要求必须这样做。这样做是因为这是一个很好的实践,客户希望你这样做。
CMMC没有太大不同。认证将向客户群表明公司已采取必要措施保护他们的数据和公司的运营管理。1级认证所需的保护将是大多数公司真正需要的。相当于基本的风险规避,与在生产环境中要求听力保护、护目镜或安全流程没有太多区别。我们可以带潜在客户参观车间,但不能带他们参观业务所依赖的数字部门。
因为我们无法将网络可视化,所以在事情发生之前很难看到其中的风险。但如果我们能看到呢?想象一下,预算表格、工资单、机密客户文件或其他只能以硬拷贝形式提供的重要任务文件。是将它们堆放在敞开的窗户前,壁炉旁,将它们交给心怀不满的员工,还是将它们交给你在街上遇到的陌生人,并让他们交付给客户或会计师?如果考虑到这些风险,你就会停止这一切,并确保这些关键信息被锁在防火、防水的保险箱里,只有你和一些信得过的工作人员才拥有开锁密码。
我描述的情景可能听起来很荒谬,但我向你保证并不荒谬。我们经常在公司网络上看到这些大大小小的问题,这是因为我们可以在数字环境中看到大多数制造商无法看到的东西。
对于制造企业的领导者,尤其是那些为国防部提供服务的领导者来说,一个残酷的事实是:你看起来已经安全了,但实则不然。
采取战略层面的行动
风险在于你并不了解未知的事情。我并不是建议你在已经做的事情上成为一名技术专家——完全不是。我的建议是,数字化运营应该得到战略层面的关注,例如一个深思熟虑的业务连续性或灾难恢复计划,包括保护你的数据。
如果我们现在在办公室会面,我会问你3个关键问题:
- 贵公司数据备份的位置和频率?
- 如果你现在需要备份数据,贵公司将如何访问和部署备份数据?
- 谁有访问这些信息的权限
你会如何回答?
不久前,我向一位新客户——一家大型制造商提出了这些问题。参会的领导没有给出明确的回答,因此我离开了会议,打电话到我的办公室,让技术团队带着一个外置硬盘来见我。我们对关键系统进行了即时备份。这样至少我们可以确定客户有一个即时备份。
暂停会议听起来像是闹剧,但事实并非如此。事实上,如果你对上述任何一个或所有问题回答“不”或“我不知道”,我建议你现在就停止阅读这篇文章,并立刻找出答案。这很重要。
为什么?因为未来是不确定的,意外随时有可能发生。
不久前,我在早上6点接到一个电话,这意味着有麻烦事。客户说碰到了很奇怪的事情,所有的文件都被锁定了,无法打开任何文件。在那段时间,勒索软件是一种新威胁,反病毒工具尚无法解决这类问题。我们很快确定这是一个漏洞,他们的数据被勒索了X美元——这是在加密货币出现之前。早在攻击发生之前,我们就为它们进行了自动夜间备份,因此在15分钟左右就能让它们恢复上线并以最小的中断运行。
诚然,你可能永远不会成为网络攻击的受害者。但是,黑客并不是数据或业务的唯一威胁。诸如此类的事情例如:由于一台拥有所有关键数据的服务器崩溃,公司需要停机数小时。有了良好的备份,几个小时的停机时间可以变成几分钟。此外,公司办公室和生产设施就像其他建筑一样容易受到火灾、洪水或灾难的影响。当然,公司有财产损失保险,但数据丢失对于公司及其客户来说完全是两码事。备份可能是生存和破产的区别,因此它是暂停会议的充分理由。
接下来,必须确保公司中的关键人员知道如何访问备份数据。如果你是唯一知道备份位置或如何联系IT服务提供商的人,那么你就不能生病或出现意外事故。如果关键的IT资源不由你掌握,而是其他员工,那么如果这个员工消失了该怎么办?
此外,要确保定期运行和测试备份。验证并不需要花费太多功夫:只需要访问一两个文档。如果它们能正常打开,你就可以正常使用了。最后,记录备份信息,并将其传达给公司中的关键人员,以便他们能够在紧急情况下采取行动。
你的公司可能再运营50年,也不会成为网络攻击或事故的受害者。事实上,我也希望如此,但希望并不是一种合适的业务连续性策略。
现在,正如你所读到的,你知道所有关键项目的软件和文件(包括电子邮件附件)都在哪里吗?你知道谁有权访问其中的任何一个文件或全部文件吗?所有员工都知道如何保证文件的安全吗?
如果你愿意,可以将回答这些问题称为“为CMMC做准备”。这是一种良好的商业实践。
Divyash Patel任MX2 Technology公司总裁。