La mayoría de los contratistas que contrató el Unidad de Defensa en los últimos cinco abriles no cumplieron con los estándares mínimos de seguridad cibernética requeridos, lo que representa un peligro significativo para la seguridad franquista de EE. UU.
El proveedor de servicios administrados CyberSheath publicó el 30 de noviembre un referencia que muestra que el 87% de la dependencia de suministro del Pentágono no cumple con los mínimos básicos de ciberseguridad. Esas brechas de seguridad están sometiendo a importantes contratistas principales de defensa y sus subcontratistas a ataques cibernéticos de una variedad de actores de amenazas que ponen en peligro la seguridad franquista de los EE. UU.
Esos riesgos han sido correctamente conocidos durante algún tiempo sin intentos de solucionarlos. Este estudio independiente de la Colchoneta Industrial de Defensa (DIB) es el primero en mostrar que los contratistas federales no protegen adecuadamente los secretos militares, según CyberSheath.
El DIB es una dependencia de suministro compleja compuesta por 300.000 principales y subcontratistas. El gobierno permite que estas empresas aprobadas compartan archivos confidenciales y se comuniquen de forma segura para realizar su trabajo.
Los contratistas de defensa pronto deberán cumplir con la Certificación del Maniquí de Reflexión de Ciberseguridad (CMMC) para nutrir esos secretos seguros. Mientras tanto, el referencia advierte que los piratas informáticos del estado-nación están apuntando activa y específicamente a estos contratistas con sofisticadas campañas de ciberataques.
“Otorgar contratos a contratistas federales sin validar primero sus controles de seguridad cibernética ha sido un completo fracaso”, dijo a universoinformativo Eric Noonan, director ejecutor de CyberSheath.
Los contratistas de defensa han recibido el mandato de cumplir con los requisitos de cumplimiento de seguridad cibernética durante más de cinco abriles. Esas condiciones están integradas en más de un millón de contratos, agregó.
Detalles peligrosos
El Merrill Research Report 2022, encargado por CyberSheath, reveló que el 87 % de los contratistas federales tienen una puntuación inferior a 70 en el Sistema de Aventura de Desempeño del Proveedor (SPRS). La métrica muestra qué tan correctamente un contratista cumple con los requisitos del Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS).
DFARS ha sido ley desde 2017 y requiere una puntuación de 110 para el pleno cumplimiento. Los críticos del sistema han considerado anecdóticamente que 70 es “suficientemente bueno”. Aun así, la gran mayoría de los contratistas aún se quedan cortos.
“Los hallazgos del referencia muestran un peligro claro y presente para nuestra seguridad franquista”, dijo Eric Noonan. “A menudo escuchamos sobre los peligros de las cadenas de suministro que son susceptibles a los ataques cibernéticos”.
El DIB es la dependencia de suministro del Pentágono, y vemos cuán lamentablemente mal preparados están los contratistas a pesar de estar en la mira de los actores de amenazas, continuó.
“Nuestros secretos militares no están seguros y existe una menester urgente de mejorar el estado de la ciberseguridad para este reunión, que a menudo no cumple ni siquiera con los requisitos de ciberseguridad más básicos”, advirtió Noonan.
Más hallazgos del referencia
Los datos de la pesquisa provinieron de 300 contratistas del Unidad de Defensa de EE. UU., con una precisión probada al nivel de confianza del 95 %. El estudio se completó en julio y agosto de 2022, con CMMC 2.0 en el horizonte.
Aproximadamente el 80% de los usuarios de DIB no pudieron monitorear sus sistemas informáticos las 24 horas del día y carecían de servicios de monitoreo de seguridad basados en EE. UU. Otras deficiencias fueron evidentes en las siguientes categorías que se requerirán para conquistar el cumplimiento de CMMC:
- El 80% carece de una alternativa de dirección de vulnerabilidades
- El 79 % carece de un sistema completo de autenticación multifactor (MFA)
- El 73 % carece de una alternativa de detección y respuesta de punto final (EDR)
- El 70% no ha implementado dirección de eventos e información de seguridad (SIEM)
Estos controles de seguridad son requeridos legalmente por el DIB y, cubo que no se cumplen, existe un peligro significativo que enfrenta el Unidad de Defensa y su capacidad para sobrellevar a parte una defensa armada. Adicionalmente de ser en gran medida incumplidores, el 82 % de los contratistas encuentran “moderada o extremadamente difícil entender las regulaciones gubernamentales sobre seguridad cibernética.
Confusión rampante entre los contratistas
Según el referencia, algunos contratistas de defensa en todo el DIB se han centrado en la seguridad cibernética solo para encontrarse estancados por obstáculos.
Cuando se les pidió que calificaran los desafíos de informes de DFARS en una escalera de uno a 10 (siendo 10 extremadamente desafiante), aproximadamente el 60 % de todos los encuestados calificaron la “comprensión de los requisitos” con siete de 10 o más. Asimismo ocupaban un emplazamiento destacado en la relación de desafíos la documentación y los informes de rutina.
Los principales obstáculos enumerados por los contratistas son los desafíos para comprender los pasos necesarios para conquistar el cumplimiento, la dificultad de implementar políticas y procedimientos sostenibles de CMMC y el costo total involucrado.
Desafortunadamente, esos resultados fueron muy similares a los que esperaba CyberSheath, admitió Noonan. Señaló que la investigación confirmó que incluso las medidas fundamentales de ciberseguridad, como la autenticación multifactor, se habían ignorado en gran medida.
“Esta investigación, combinada con el caso de la Ley de Reclamaciones Falsas contra el hércules de la defensa Aerojet Rocketdyne, muestra que tanto los contratistas de defensa grandes como los pequeños no cumplen con las obligaciones contractuales de ciberseguridad y que el Unidad de Defensa tiene un peligro sistémico en toda su dependencia de suministro”, dijo Noonan.
Sin gran sorpresa
Noonan cree que el Unidad de Defensa sabe desde hace mucho tiempo que la industria de la defensa no está abordando la seguridad cibernética. Los informes noticiosos sobre las infracciones aparentemente interminables de los estados-nación por parte de los contratistas de defensa, incluidos incidentes a gran escalera como los casos de SolarWinds y False Claims Act, prueban ese punto.
“Asimismo creo que el Unidad de Defensa se ha quedado sin paciencia luego de dar a los contratistas abriles para chocar el problema. Solo ahora el Unidad de Defensa hará de la ciberseguridad un pilar de la adquisición de contratos”, dijo Noonan.
Señaló que el nuevo principio planeado del Unidad de Defensa sería “Sin ciberseguridad, sin anuencia”.
Noonan admitió que algunas de las luchas que expresaron los contratistas sobre las dificultades para comprender y cumplir con los requisitos cibernéticos tienen mérito.
“Es un punto calibrado porque algunos de los mensajes del gobierno han sido inconsistentes. Sin retención, en verdad, los requisitos no han cambiado desde aproximadamente 2017”, ofreció.
Que sigue
Quizás el Unidad de Defensa seguirá una política más estricta con los contratistas. Si los contratistas cumplieran con lo que exige la ley en 2017, toda la dependencia de suministro estaría en un emplazamiento mucho mejor hoy. A pesar de algunos desafíos de comunicación, el Unidad de Defensa ha sido increíblemente consistente en lo que se requiere para la seguridad cibernética del contratista de defensa, agregó Noonan.
La investigación flagrante ahora se encuentra sobre una montaña de evidencia que demuestra que los contratistas federales tienen mucho trabajo por hacer para mejorar la seguridad cibernética. Está claro que el trabajo no se realizará sin la aplicación del gobierno federal.
“La confianza sin demostración falló, y ahora el Unidad de Defensa parece estar actuando para hacer cumplir la demostración”, dijo.
Respuesta del Unidad de Defensa
universoinformativo envió preguntas por escrito al Unidad de Defensa sobre las críticas a la dependencia de suministro en el referencia CyberSheath. Un portavoz de CYBER/IT/DOD CIO del Unidad de Defensa respondió que tomaría algunos días profundizar en los problemas. Actualizaremos esta historia con cualquier respuesta que recibamos.
Puesta al día: 9 de diciembre de 2022 a las 3:20 p. m. (hora del Pacífico)
La portavoz del Unidad de Defensa y comandante de la Armada de los EE. UU., Jessica McNulty, proporcionó esta respuesta a universoinformativo:
CyberSheath es una empresa que ha sido evaluada por el Organismo de Credencial Cibernética (Cyber AB) y cumplió con los requisitos para convertirse en una Ordenamiento de Profesionales Registrados, calificada para asesorar y ayudar a las empresas de Colchoneta Industrial de Defensa (DIB) con la implementación de CMMC. El Cyber AB es un 501(c)(3) que autoriza y acredita a empresas de terceros que realizan evaluaciones de empresas internamente del DIB, según la comandante de la Armada de los EE. UU. Jessica McNulty, portavoz del Unidad de Defensa.
McNulty confirmó que el Unidad de Defensa está al tanto de este referencia y sus hallazgos. El Unidad de Defensa no ha tomado ninguna medida para validar los hallazgos, ni la agencia respalda este referencia, dijo.
Sin retención, el referencia y sus hallazgos generalmente no son inconsistentes con otros informes anteriores (como la Auditoría de protección de información no clasificada controlada por el Unidad de Defensa en redes y sistemas propiedad de contratistas del Inspector Universal del Unidad de Defensa (ref. DODIG-2019-105) o con los resultados de evaluaciones de cumplimiento realizadas por el DoD, según lo permitido/requerido por la cláusula 252.204-7020 de DFARS (cuando corresponda), señaló.
“Persistir estándares de seguridad cibernética adecuados, como los definidos por el Instituto Franquista de Estándares y Tecnología (NIST) e impuestos como requisitos contractuales a través de la aplicación de DFARS 252.204-7012, es de suma importancia para proteger la información no clasificada controlada por el Unidad de Defensa. El Unidad de Defensa ha agradecido durante mucho tiempo que se necesita un mecanismo para evaluar el nivel en que los contratistas cumplen con estos estándares, en emplazamiento de aguardar en que se cumplen los estándares”, dijo McNulty a universoinformativo.
Por esta razón, se inició el software de Certificación del Maniquí de Reflexión de Ciberseguridad (CMMC) del Unidad de Defensa, y el Unidad de Defensa está trabajando para codificar sus requisitos en la parte 32 del Código de Regulaciones Federales, agregó.
“Una vez implementados, los requisitos de evaluación de CMMC se impondrán como requisitos previos a la adjudicación, cuando corresponda, para certificar que los contratos del Unidad de Defensa se otorguen a empresas que, de hecho, cumplen con los requisitos de ciberseguridad subyacentes”, concluyó McNulty.