Крис Петерсен, генеральный директор, главный технолог и соучредитель компании RADICL Defense.
Соблюдаете ли вы кибербезопасные требования ваших правительственных контрактов? Если нет, или если вы не знаете, пришло время обязаться усилить ваши усилия в области кибербезопасности, чтобы обеспечить защиту вашей компании и нации.
Оборонно-промышленная база (DIB) и критическая инфраструктура (КИ) США не только зависят от крупных предприятий в области производства и технологий. Они все больше опираются на малые и средние предприятия (МСП) для изобретений, идей и технологий, необходимых для поддержки совершенствующихся систем обороны, которые обеспечивают безопасность нашей нации как на внутреннем, так и на зарубежном уровне.
Тем не менее, несмотря на работу с конфиденциальными данными, эти меньшие компании часто не обладают таким надежным подходом к безопасности, как у крупных предприятий, чтобы защитить свои данные и интеллектуальную собственность. Это может быть по многим причинам, от недостатка осведомленности до недостатка средств и ресурсов. К сожалению, их ограниченный доступ к надежным кибербезопасным возможностям делает их идеальной целью для действующих от имени государства и киберпреступников, которые хотят украсть конфиденциальные данные и национальные секреты, распространять вымогательство или прерывать поставочные цепочки обороны.
Как ветеран отрасли кибербезопасности и инноватор, я считаю, что можно сделать больше для защиты этих МСП, чтобы они могли продолжать развивать свои продукты и идеи, строить свои бизнесы и служить своей стране. Министерство обороны предпринимает активные шаги для обеспечения минимальной базовой защиты кибербезопасности, внедряя конкретные инициативы по увеличению соблюдения кибербезопасности своими контрактантами. Например, в настоящее время определенных контрагентов требуется размещать оценочные баллы самооценки согласно NIST SP 800-171 в Системе риска производительности поставщика (SPRS). Компаниям DIB также будет требоваться участие в процессе сертификации кибербезопасности Cybersecurity Maturity Model Certification (CMMC), как только правило вступит в силу — это, как считают многие, произойдет в начале следующего года.
Министерство обороны (МО) не хочет вести дела с компанией, которая может поставить их под угрозу. Относительно кибербезопасности МО внедрено несколько Дополнений к оборонным федеральным стандартам по дополнению контрактов (DFARS) вместе с конкретными требованиями к отчетности в Системе риска производительности поставщика (SPRS).
Дополнение к оборонным федеральным стандартам по дополнению контрактов (DFARS) 252.204.7012 “Обеспечение защиты конфиденциальной защищенной информации и отчеты о киберинцидентах” гласит: “Генеральный подрядчик обеспечивает достаточную безопасность на всех защищенных информационных системах подрядчика”, и подробно излагает эти требования, включая требование соблюдения NIST SP 800-171. В дополнении также содержатся действия по отчетности о киберинцидентах, обнаружении вредоносного программного обеспечения, оценке ущерба от киберинцидентов и многое другое.
Другое дополнение DFARS, 252.204.7019 Объявление о требованиях к оценке NIST SP 800-171 МОС обязывает подрядчиков, которым требуется соблюдение NIST SP 800-171 (согласно DFARS 252.204.7012), размещать оценочную оценку в SPRS. В дополнении прямо указано: “Для участия в конкурсе подрядчику, если ему требуется реализовать NIST SP 800–171, подрядчик должен иметь текущую оценку (т. е. не старше 3 лет, если в Запросе уточняется меньший срок) (см. 252.204–7020) для каждой защищенной информационной системы подрядчика, которая имеет отношение к предложению, контракту, заказу на выполнение работ или заказу на поставку”.
SPRS — это база данных, которую поддерживает МО с компаниями и их риском поставщиков. Контрактные офицеры используют базу данных SPRS, чтобы оценить риск поставщика по трем факторам: риск изделия, риск цены и риск поставщика. Последний фактор, риск поставщика, включает в себя NIST SP 800-171. Если для заключения контракта требуется, чтобы компания представила оценочный балл самооценки согласно Дополнению к оборонным федеральным стандартам по дополнению контрактов 252.204.7019, и она этого не сделала, контракт не будет заключен.
Оценка самооценки по NIST SP 800-171 определяется путем оценки соблюдения всех 110 требований по безопасности в соответствии с методологией оценки кибербезопасности NIST SP 800-171 МО. Баллы находятся в диапазоне от 110 до -203. За каждое выполненное требование начисляется один балл. Невыполненные требования вычитаются из балла. Некоторые требования могут вычитать несколько баллов, что позволяет получить балл -203.
Необходимо обеспечить точность представленного балла самооценки по NIST SP 800-171. Хотя оценки обычно имеют определенный уровень субъективной оценки, должен быть разумный уровень строгости, подкрепляющий представленный балл. Балл должен опираться на операцию самооценки, которая фиксирует, почему каждое требование было оценено как выполненное или невыполненное, с фиксацией всех доказательств и связанной информации.
Строгие операции самооценки обеспечат понимание лидерства компании их истинной позиции в области соблюдения NIST SP 800-171, что в конечном итоге служит показателем риска кибер-инцидента компании — что должно беспокоить всех генеральных директоров, особенно тех, кто обслуживает оборонную отрасль.
Строгие операции самооценки также помогут защитить от обвинений в нарушении федерального закона о лжи и последующих юридических последствий. Претензии по Федеральному закону о лжи начинают поступать. Примечательным примером является компания Verizon Business Network Services, которая согласилась заплатить 4 миллиона долларов в результате неполного выполнения определенных кибербезопасных контролов в рамках предоставления информационно-технологической услуги федеральным агентствам.
Упомянутые в статье Дополнения к DFARS, вместе с предстоящим правилом CMMC, созданы для защиты американского инновационного и критического бизнеса от угроз со стороны национальных государств. Эти угрозы реальны и растущи. Компании, обязанные соблюдать Дополнения к DFARS 7012, 7019 и 7020, должны стремиться к достижению и поддержанию балла 110 путем строгой операции самооценки.
Хотя инвестиции в кибербезопасность и возможность представить более высокий балл в SPRS не обязательно приведут к конкурентному преимуществу, это определенно не помешает. При этом вы снизите риск финансовых потерь или ущерба репутации компании от киберинцидента. Вы также лучше обеспечите себя готовностью к достижению соответствия CMMC уровень 2, как только правило вступит в полную силу (примерно в первом квартале 2025 года), что может как затруднить, так и ускорить будущие возможности по контракту.
Будьте впереди кривой. Защитите свою марку. Защитите свою деятельность. Защитите национальную безопасность Америки.
Forbes Technology Council — это сообщество по приглашению для первоклассных генеральных директоров, главных технологов и технологических руководителей. Соответствую ли я требованиям?