زنجیره تامین پنتاگون استانداردهای اساسی امنیت ملی را شکست می‌دهد


اکثر پیمانکارانی که وزارت دفاع در پنج سال گذشته استخدام کرده است، نتوانسته اند حداقل استانداردهای امنیت سایبری لازم را برآورده کنند، و این یک خطر بزرگ برای امنیت ملی ایالات متحده است.

فروشنده خدمات مدیریت شده CyberSheath در 30 نوامبر گزارشی را منتشر کرد که نشان می دهد 87 درصد از زنجیره تامین پنتاگون به حداقل های اولیه امنیت سایبری نمی رسد. این شکاف های امنیتی پیمانکاران اصلی دفاعی و پیمانکاران فرعی آنها را در معرض حملات سایبری طیفی از بازیگران تهدید قرار می دهد که امنیت ملی ایالات متحده را در معرض خطر قرار می دهد.

این خطرات برای مدتی بدون تلاش برای رفع آنها شناخته شده بودند. به گزارش CyberSheath، این مطالعه مستقل از پایگاه صنعتی دفاعی (DIB) اولین مطالعه ای است که نشان می دهد پیمانکاران فدرال به درستی از اسرار نظامی محافظت نمی کنند.

DIB یک زنجیره تامین پیچیده است که از 300000 پیمانکار اصلی و فرعی تشکیل شده است. دولت به این شرکت‌های تایید شده اجازه می‌دهد تا فایل‌های حساس را به اشتراک بگذارند و برای انجام کار خود به صورت ایمن ارتباط برقرار کنند.

پیمانکاران دفاعی به زودی ملزم به رعایت گواهینامه مدل بلوغ امنیت سایبری (CMMC) برای ایمن نگه داشتن این اسرار خواهند بود. در همین حال، این گزارش هشدار می دهد که هکرهای دولت-ملت به طور فعال و مشخص این پیمانکاران را با کمپین های پیچیده حملات سایبری هدف قرار می دهند.

اریک نونان، مدیرعامل CyberSheath، به TechNewsWorld گفت: «اعطای قرارداد به پیمانکاران فدرال بدون تأیید کنترل‌های امنیت سایبری آنها یک شکست کامل بوده است».

بیش از پنج سال است که پیمانکاران دفاعی موظف به رعایت الزامات انطباق با امنیت سایبری هستند. وی افزود که این شرایط در بیش از یک میلیون قرارداد گنجانده شده است.

جزئیات خطرناک

گزارش تحقیقاتی مریل در سال 2022 که توسط CyberSheath انجام شد، نشان داد که 87٪ از پیمانکاران فدرال دارای امتیاز زیر 70 سیستم ریسک عملکرد تامین کننده (SPRS) هستند. این معیار نشان می‌دهد که یک پیمانکار تا چه اندازه الزامات مکمل مقررات اکتساب فدرال دفاع (DFARS) را برآورده می‌کند.

DFARS از سال 2017 قانون شده است و برای انطباق کامل به امتیاز 110 نیاز دارد. منتقدان این سیستم به طور حکایتی 70 را “به اندازه کافی خوب” می دانند. با این وجود، اکثریت قریب به اتفاق پیمانکاران همچنان کوتاهی می‌کنند.

اریک نونان گفت: «یافته‌های گزارش یک خطر آشکار و فعلی را برای امنیت ملی ما نشان می‌دهد. ما اغلب در مورد خطرات زنجیره های تامین مستعد حملات سایبری می شنویم.

او ادامه داد که DIB زنجیره تامین پنتاگون است و ما می بینیم که پیمانکاران با وجود اینکه در تیررس عوامل تهدید قرار دارند، چقدر غم انگیز هستند.

نونان هشدار داد: «اسرار نظامی ما امن نیست و نیاز فوری به بهبود وضعیت امنیت سایبری برای این گروه وجود دارد که اغلب حتی ابتدایی‌ترین الزامات امنیت سایبری را برآورده نمی‌کند.»

یافته های گزارش بیشتر

داده های نظرسنجی از 300 پیمانکار وزارت دفاع مستقر در ایالات متحده، با دقت در سطح اطمینان 95 درصد آزمایش شده است. این مطالعه در جولای و آگوست 2022 با CMMC 2.0 در افق تکمیل شد.

تقریباً 80 درصد از کاربران DIB نتوانستند سیستم‌های رایانه‌ای خود را به صورت شبانه روزی نظارت کنند و فاقد خدمات نظارت امنیتی مستقر در ایالات متحده بودند. سایر کاستی‌ها در دسته‌های زیر مشهود بود که برای دستیابی به انطباق با CMMC لازم است:

  • 80 درصد فاقد راه حل مدیریت آسیب پذیری هستند
  • 79 درصد فاقد سیستم جامع احراز هویت چند عاملی (MFA) هستند
  • 73 درصد فاقد محلول تشخیص نقطه پایانی و پاسخ (EDR) هستند
  • 70 درصد از اطلاعات امنیتی و مدیریت رویداد (SIEM) استفاده نکرده اند.

این کنترل‌های امنیتی از نظر قانونی برای DIB مورد نیاز است، و از آنجایی که این کنترل‌ها رعایت نمی‌شوند، خطر قابل‌توجهی برای وزارت دفاع و توانایی آن برای انجام دفاع مسلحانه وجود دارد. 82 درصد از پیمانکاران، علاوه بر عدم انطباق، درک مقررات دولتی در مورد امنیت سایبری را نسبتاً دشوار می دانند.

سردرگمی در میان پیمانکاران

بر اساس این گزارش، برخی از پیمانکاران دفاعی در سراسر DIB بر امنیت سایبری تمرکز کرده‌اند تا با موانعی متوقف شوند.

هنگامی که از آنها خواسته شد که چالش های گزارش دهی DFARS را در مقیاسی از یک تا 10 ارزیابی کنند (که 10 بسیار چالش برانگیز است)، حدود 60٪ از همه پاسخ دهندگان به “درک الزامات” هفت در 10 یا بالاتر نمره دادند. همچنین در فهرست چالش‌ها، مستندسازی و گزارش‌دهی معمول بود.

موانع اصلی لیست شده توسط پیمانکاران، چالش‌هایی در درک گام‌های لازم برای دستیابی به انطباق، دشواری اجرای سیاست‌ها و رویه‌های CMMC پایدار و هزینه کلی است.

نونان اذعان داشت که متأسفانه، این نتایج دقیقاً مشابه چیزی بود که CyberSheath انتظار داشت. وی خاطرنشان کرد که این تحقیق تأیید می کند که حتی اقدامات اساسی امنیت سایبری مانند احراز هویت چند عاملی تا حد زیادی نادیده گرفته شده است.

نونان گفت: «این تحقیق، همراه با پرونده ادعاهای دروغین علیه غول دفاعی Aerojet Rocketdyne، نشان می‌دهد که هم پیمانکاران دفاعی بزرگ و هم کوچک به تعهدات قراردادی امنیت سایبری عمل نمی‌کنند و وزارت دفاع در سراسر زنجیره تأمین آنها دارای ریسک سیستماتیک است.»

بدون سورپرایز بزرگ

نونان معتقد است که وزارت دفاع مدت‌هاست می‌دانست که صنعت دفاعی به امنیت سایبری نمی‌پردازد. گزارش‌های خبری از نقض ظاهراً بی‌پایان دولت‌های ملی پیمانکاران دفاعی، از جمله حوادث مقیاس بزرگ مانند پرونده‌های SolarWinds و قانون ادعاهای دروغین، این نکته را ثابت می‌کند.

من همچنین معتقدم که صبر وزارت دفاع پس از گذشت سالها به پیمانکاران برای رسیدگی به این مشکل تمام شده است. نونان گفت: «تنها اکنون وزارت دفاع آمریکا امنیت سایبری را به ستونی برای خرید قرارداد تبدیل می‌کند.»

او خاطرنشان کرد که اصل جدید وزارت دفاع آمریکا «بدون امنیت سایبری، بدون قرارداد» خواهد بود.

نونان اعتراف کرد که برخی از مبارزاتی که پیمانکاران در مورد مشکلات در درک و برآوردن الزامات سایبری بیان کردند، شایستگی دارد.

«این یک نکته منصفانه است زیرا برخی از پیام‌های دولت متناقض بوده است. با این حال، در واقعیت، الزامات از حدود سال 2017 تغییر نکرده است.

چه خبر بعدی

شاید وزارت دفاع سیاست سخت گیرانه تری را با پیمانکاران دنبال کند. اگر پیمانکاران در سال 2017 از آنچه قانون خواسته بود پیروی می کردند، امروز کل زنجیره تامین در مکان بسیار بهتری قرار می گرفت. نونان افزود، علی‌رغم برخی چالش‌های ارتباطی، وزارت دفاع در مورد آنچه که برای امنیت سایبری پیمانکاران دفاعی مورد نیاز است، بسیار سازگار بوده است.

تحقیقات کنونی اکنون در بالای کوهی از شواهد قرار دارد که ثابت می کند پیمانکاران فدرال برای بهبود امنیت سایبری باید کارهای زیادی انجام دهند. واضح است که کار بدون اجرای دولت فدرال انجام نخواهد شد.

او گفت: «اعتماد بدون راستی‌آزمایی با شکست مواجه شد و اکنون به نظر می‌رسد وزارت دفاع در حال حرکت برای اجرای راستی‌آزمایی است».

پاسخ وزارت دفاع هنوز در انتظار است

TechNewsWorld در گزارش CyberSheath سوالات کتبی را در مورد انتقادات زنجیره تامین به وزارت دفاع ارسال کرد. سخنگوی CYBER/IT/DOD CIO برای وزارت دفاع پاسخ داد و اظهار داشت که بررسی این مسائل چند روز طول می کشد. با هر پاسخی که دریافت کنیم، این داستان را به روز خواهیم کرد.



منبع