زنجیره تامین پنتاگون استانداردهای اساسی امنیت ملی را شکست می‌دهد

هنگامی که از آنها خواسته شد که چالش های گزارش دهی DFARS را در مقیاسی از یک تا 10 ارزیابی کنند (که 10 بسیار چالش برانگیز است)، حدود 60٪ از همه پاسخ دهندگان به “درک الزامات” هفت در 10 یا بالاتر نمره دادند. همچنین در فهرست چالش‌ها، مستندسازی و گزارش‌دهی معمول بود.

او گفت: «اعتماد بدون راستی‌آزمایی با شکست مواجه شد و اکنون به نظر می‌رسد وزارت دفاع در حال حرکت برای اجرای راستی‌آزمایی است».

پاسخ وزارت دفاع هنوز در انتظار است

من همچنین معتقدم که صبر وزارت دفاع پس از گذشت سالها به پیمانکاران برای رسیدگی به این مشکل تمام شده است. نونان گفت: «تنها اکنون وزارت دفاع آمریکا امنیت سایبری را به ستونی برای خرید قرارداد تبدیل می‌کند.»

موانع اصلی لیست شده توسط پیمانکاران، چالش‌هایی در درک گام‌های لازم برای دستیابی به انطباق، دشواری اجرای سیاست‌ها و رویه‌های CMMC پایدار و هزینه کلی است.

اریک نونان گفت: «یافته‌های گزارش یک خطر آشکار و فعلی را برای امنیت ملی ما نشان می‌دهد. ما اغلب در مورد خطرات زنجیره های تامین مستعد حملات سایبری می شنویم.

نونان اذعان داشت که متأسفانه، این نتایج دقیقاً مشابه چیزی بود که CyberSheath انتظار داشت. وی خاطرنشان کرد که این تحقیق تأیید می کند که حتی اقدامات اساسی امنیت سایبری مانند احراز هویت چند عاملی تا حد زیادی نادیده گرفته شده است.

داده های نظرسنجی از 300 پیمانکار وزارت دفاع مستقر در ایالات متحده، با دقت در سطح اطمینان 95 درصد آزمایش شده است. این مطالعه در جولای و آگوست 2022 با CMMC 2.0 در افق تکمیل شد.

این کنترل‌های امنیتی از نظر قانونی برای DIB مورد نیاز است، و از آنجایی که این کنترل‌ها رعایت نمی‌شوند، خطر قابل‌توجهی برای وزارت دفاع و توانایی آن برای انجام دفاع مسلحانه وجود دارد. 82 درصد از پیمانکاران، علاوه بر عدم انطباق، درک مقررات دولتی در مورد امنیت سایبری را نسبتاً دشوار می دانند.

سردرگمی در میان پیمانکاران

نونان گفت: «این تحقیق، همراه با پرونده ادعاهای دروغین علیه غول دفاعی Aerojet Rocketdyne، نشان می‌دهد که هم پیمانکاران دفاعی بزرگ و هم کوچک به تعهدات قراردادی امنیت سایبری عمل نمی‌کنند و وزارت دفاع در سراسر زنجیره تأمین آنها دارای ریسک سیستماتیک است.»

بدون سورپرایز بزرگ

بر اساس این گزارش، برخی از پیمانکاران دفاعی در سراسر DIB بر امنیت سایبری تمرکز کرده‌اند تا با موانعی متوقف شوند.

او خاطرنشان کرد که اصل جدید وزارت دفاع آمریکا «بدون امنیت سایبری، بدون قرارداد» خواهد بود.

شاید وزارت دفاع سیاست سخت گیرانه تری را با پیمانکاران دنبال کند. اگر پیمانکاران در سال 2017 از آنچه قانون خواسته بود پیروی می کردند، امروز کل زنجیره تامین در مکان بسیار بهتری قرار می گرفت. نونان افزود، علی‌رغم برخی چالش‌های ارتباطی، وزارت دفاع در مورد آنچه که برای امنیت سایبری پیمانکاران دفاعی مورد نیاز است، بسیار سازگار بوده است.

او ادامه داد که DIB زنجیره تامین پنتاگون است و ما می بینیم که پیمانکاران با وجود اینکه در تیررس عوامل تهدید قرار دارند، چقدر غم انگیز هستند.

تبلیغات

تقریباً 80 درصد از کاربران DIB نتوانستند سیستم‌های رایانه‌ای خود را به صورت شبانه روزی نظارت کنند و فاقد خدمات نظارت امنیتی مستقر در ایالات متحده بودند. سایر کاستی‌ها در دسته‌های زیر مشهود بود که برای دستیابی به انطباق با CMMC لازم است:

• 80 درصد فاقد راه حل مدیریت آسیب پذیری هستند
• 79 درصد فاقد سیستم جامع احراز هویت چند عاملی (MFA) هستند
• 73 درصد فاقد محلول تشخیص نقطه پایانی و پاسخ (EDR) هستند
• 70 درصد از اطلاعات امنیتی و مدیریت رویداد (SIEM) استفاده نکرده اند.

«این یک نکته منصفانه است زیرا برخی از پیام‌های دولت متناقض بوده است. با این حال، در واقعیت، الزامات از حدود سال 2017 تغییر نکرده است.

چه خبر بعدی

این خطرات برای مدتی بدون تلاش برای رفع آنها شناخته شده بودند. به گزارش CyberSheath، این مطالعه مستقل از پایگاه صنعتی دفاعی (DIB) اولین مطالعه ای است که نشان می دهد پیمانکاران فدرال به درستی از اسرار نظامی محافظت نمی کنند.

بیش از پنج سال است که پیمانکاران دفاعی موظف به رعایت الزامات انطباق با امنیت سایبری هستند. وی افزود که این شرایط در بیش از یک میلیون قرارداد گنجانده شده است.

جزئیات خطرناک

TechNewsWorld در گزارش CyberSheath سوالات کتبی را در مورد انتقادات زنجیره تامین به وزارت دفاع ارسال کرد. سخنگوی CYBER/IT/DOD CIO برای وزارت دفاع پاسخ داد و اظهار داشت که بررسی این مسائل چند روز طول می کشد. با هر پاسخی که دریافت کنیم، این داستان را به روز خواهیم کرد.