هنگامی که از آنها خواسته شد که چالش های گزارش دهی DFARS را در مقیاسی از یک تا 10 ارزیابی کنند (که 10 بسیار چالش برانگیز است)، حدود 60٪ از همه پاسخ دهندگان به “درک الزامات” هفت در 10 یا بالاتر نمره دادند. همچنین در فهرست چالشها، مستندسازی و گزارشدهی معمول بود.
او گفت: «اعتماد بدون راستیآزمایی با شکست مواجه شد و اکنون به نظر میرسد وزارت دفاع در حال حرکت برای اجرای راستیآزمایی است».
پاسخ وزارت دفاع هنوز در انتظار است
من همچنین معتقدم که صبر وزارت دفاع پس از گذشت سالها به پیمانکاران برای رسیدگی به این مشکل تمام شده است. نونان گفت: «تنها اکنون وزارت دفاع آمریکا امنیت سایبری را به ستونی برای خرید قرارداد تبدیل میکند.»
موانع اصلی لیست شده توسط پیمانکاران، چالشهایی در درک گامهای لازم برای دستیابی به انطباق، دشواری اجرای سیاستها و رویههای CMMC پایدار و هزینه کلی است.
اریک نونان گفت: «یافتههای گزارش یک خطر آشکار و فعلی را برای امنیت ملی ما نشان میدهد. ما اغلب در مورد خطرات زنجیره های تامین مستعد حملات سایبری می شنویم.
نونان اذعان داشت که متأسفانه، این نتایج دقیقاً مشابه چیزی بود که CyberSheath انتظار داشت. وی خاطرنشان کرد که این تحقیق تأیید می کند که حتی اقدامات اساسی امنیت سایبری مانند احراز هویت چند عاملی تا حد زیادی نادیده گرفته شده است.
داده های نظرسنجی از 300 پیمانکار وزارت دفاع مستقر در ایالات متحده، با دقت در سطح اطمینان 95 درصد آزمایش شده است. این مطالعه در جولای و آگوست 2022 با CMMC 2.0 در افق تکمیل شد.
این کنترلهای امنیتی از نظر قانونی برای DIB مورد نیاز است، و از آنجایی که این کنترلها رعایت نمیشوند، خطر قابلتوجهی برای وزارت دفاع و توانایی آن برای انجام دفاع مسلحانه وجود دارد. 82 درصد از پیمانکاران، علاوه بر عدم انطباق، درک مقررات دولتی در مورد امنیت سایبری را نسبتاً دشوار می دانند.
سردرگمی در میان پیمانکاران
نونان گفت: «این تحقیق، همراه با پرونده ادعاهای دروغین علیه غول دفاعی Aerojet Rocketdyne، نشان میدهد که هم پیمانکاران دفاعی بزرگ و هم کوچک به تعهدات قراردادی امنیت سایبری عمل نمیکنند و وزارت دفاع در سراسر زنجیره تأمین آنها دارای ریسک سیستماتیک است.»
بدون سورپرایز بزرگ
بر اساس این گزارش، برخی از پیمانکاران دفاعی در سراسر DIB بر امنیت سایبری تمرکز کردهاند تا با موانعی متوقف شوند.
او خاطرنشان کرد که اصل جدید وزارت دفاع آمریکا «بدون امنیت سایبری، بدون قرارداد» خواهد بود.
شاید وزارت دفاع سیاست سخت گیرانه تری را با پیمانکاران دنبال کند. اگر پیمانکاران در سال 2017 از آنچه قانون خواسته بود پیروی می کردند، امروز کل زنجیره تامین در مکان بسیار بهتری قرار می گرفت. نونان افزود، علیرغم برخی چالشهای ارتباطی، وزارت دفاع در مورد آنچه که برای امنیت سایبری پیمانکاران دفاعی مورد نیاز است، بسیار سازگار بوده است.
او ادامه داد که DIB زنجیره تامین پنتاگون است و ما می بینیم که پیمانکاران با وجود اینکه در تیررس عوامل تهدید قرار دارند، چقدر غم انگیز هستند.
تبلیغات
تقریباً 80 درصد از کاربران DIB نتوانستند سیستمهای رایانهای خود را به صورت شبانه روزی نظارت کنند و فاقد خدمات نظارت امنیتی مستقر در ایالات متحده بودند. سایر کاستیها در دستههای زیر مشهود بود که برای دستیابی به انطباق با CMMC لازم است:
- 80 درصد فاقد راه حل مدیریت آسیب پذیری هستند
- 79 درصد فاقد سیستم جامع احراز هویت چند عاملی (MFA) هستند
- 73 درصد فاقد محلول تشخیص نقطه پایانی و پاسخ (EDR) هستند
- 70 درصد از اطلاعات امنیتی و مدیریت رویداد (SIEM) استفاده نکرده اند.
«این یک نکته منصفانه است زیرا برخی از پیامهای دولت متناقض بوده است. با این حال، در واقعیت، الزامات از حدود سال 2017 تغییر نکرده است.
چه خبر بعدی
این خطرات برای مدتی بدون تلاش برای رفع آنها شناخته شده بودند. به گزارش CyberSheath، این مطالعه مستقل از پایگاه صنعتی دفاعی (DIB) اولین مطالعه ای است که نشان می دهد پیمانکاران فدرال به درستی از اسرار نظامی محافظت نمی کنند.
بیش از پنج سال است که پیمانکاران دفاعی موظف به رعایت الزامات انطباق با امنیت سایبری هستند. وی افزود که این شرایط در بیش از یک میلیون قرارداد گنجانده شده است.
جزئیات خطرناک
TechNewsWorld در گزارش CyberSheath سوالات کتبی را در مورد انتقادات زنجیره تامین به وزارت دفاع ارسال کرد. سخنگوی CYBER/IT/DOD CIO برای وزارت دفاع پاسخ داد و اظهار داشت که بررسی این مسائل چند روز طول می کشد. با هر پاسخی که دریافت کنیم، این داستان را به روز خواهیم کرد.
نونان هشدار داد: «اسرار نظامی ما امن نیست و نیاز فوری به بهبود وضعیت امنیت سایبری برای این گروه وجود دارد که اغلب حتی ابتداییترین الزامات امنیت سایبری را برآورده نمیکند.»
DIB یک زنجیره تامین پیچیده است که از 300000 پیمانکار اصلی و فرعی تشکیل شده است. دولت به این شرکتهای تایید شده اجازه میدهد تا فایلهای حساس را به اشتراک بگذارند و برای انجام کار خود به صورت ایمن ارتباط برقرار کنند.
تحقیقات کنونی اکنون در بالای کوهی از شواهد قرار دارد که ثابت می کند پیمانکاران فدرال برای بهبود امنیت سایبری باید کارهای زیادی انجام دهند. واضح است که کار بدون اجرای دولت فدرال انجام نخواهد شد.