5 häufig gestellte Fragen von Herstellern zu Cybersicherheitsanforderungen der Regierung

Dieser Artikel erschien ursprünglich bei Industry Today. Gast-Blogbeitrag von Jennifer Kurtz, Cyber ​​Program Director bei Manufacturer’s Edge, einem NIST MEP Center in Colorado und einer Vertreterin des MEP National Network ^TM .

Nach Angaben des US-Heimatschutzministeriums ist die Fertigung die am zweithäufigsten angegriffene Branche, gemessen an der Anzahl der gemeldeten Cyberangriffe. Darüber hinaus sehen Cyberkriminelle kleine und mittlere Hersteller (SMMs) als Hauptzielgruppe, da viele dieser Unternehmen keine angemessenen Präventivmaßnahmen haben.

Für das US-Verteidigungsministerium (DoD), Auftragnehmer und Unterauftragnehmer gibt es kein normales Geschäft mehr. Die Bundesregierung, die in der Geschäftsabwicklung zunehmend auf externe Dienstleister angewiesen ist, hat beim Schutz von kontrollierten nicht klassifizierten Informationen (CUI) in nichtföderalen Informationssystemen und -organisationen ihre Anstrengungen erhöht. Zum 31. Dezember 2017 waren alle Auftragnehmer der Bundesregierung verpflichtet, die Mindestanforderungen der Cybersicherheitsverordnung (Defense Acquisition Regulation Supplement, DFARS) zu erfüllen, oder riskierten den Verlust ihrer Verträge. Trotz dieser überfälligen Frist fehlen vielen SMMs das Wissen und die Ressourcen, um ihre Systeme zu aktualisieren, und wissen nicht, wie sie diese 110 neuen Sicherheitsanforderungen erfüllen können. Wichtig ist, dass die Federal Acquisition Regulation, die für staatliche Auftragnehmer gilt, die im Auftrag der General Services Administration (GSA) und der National Aeronautics and Space Administration (NASA) arbeiten, bald ähnliche Cybersicherheitsanforderungen enthalten wird.

Das MEP National Network, eine öffentlich-private Partnerschaft, die US-Herstellern umfassende, bewährte Lösungen bietet, hat aktiv Sensibilisierung und Unterstützung geboten, um US-Hersteller dabei zu unterstützen, ihre Informationsbestände vor den Risiken von Cyberangriffen zu schützen. Die Organisation und ihre Partner dienen auch als nationale Anlaufstelle für US-Hersteller, die eine angemessene Sicherheit zum Schutz gespeicherter, verarbeiteter und übertragener kontrollierter nicht klassifizierter Informationen implementieren möchten.

Im Folgenden sind fünf der am häufigsten gestellten Fragen aufgeführt, die ich von SMMs zu den DFARS-Sicherheitsrichtlinien der Bundesregierung höre.

F:Was sind kontrollierte nicht klassifizierte Informationen (CUI) und woher weiß ich, ob ich diese Art von Informationen im Rahmen meines Vertrags handhabe?

A:Kontrollierte nicht klassifizierte Informationen (CUI) sind regierungseigene Daten. Es sind Informationen, die die Regierung sicher verwahren möchte, die aber für die nationale Sicherheit nicht von entscheidender Bedeutung sind. Die DFARS-Klausel 252.204.7012 kann in Ihrem Vertrag erscheinen, wird jedoch nur in Kraft gesetzt, wenn Sie CUI verarbeiten, speichern oder übermitteln. CUI kann umfassen:Forschungs- und Konstruktionsdaten, Konstruktionszeichnungen, Spezifikationen, Handbücher, technische Berichte, Studien und Analysen sowie ausführbaren Code und Quellcode von Computersoftware. CUI wird über spezielle Kennzeichnungs- und Handhabungsanweisungen wie FOUO (nur für den offiziellen Gebrauch) verfügen. Weitere Informationen zu CUI-Markierungen finden Sie in der CUI-Registrierung.

F:Ist die Einhaltung von DFARS gesetzlich vorgeschrieben?

A:Jeder Auftragnehmer oder Unterauftragnehmer, der eine DFARS-Klausel in seinem Vertrag hat, ist gesetzlich verpflichtet, diese einzuhalten. Wenn Sie fälschlicherweise behaupten, konform zu sein, riskieren Sie, Ihren Regierungsvertrag und alle damit verbundenen Einnahmen zu verlieren und werden wahrscheinlich nicht für zukünftige Regierungsaufträge berechtigt sein.

F:Ich besitze ein kleines Unternehmen und meine Regierungsaufträge sind klein. Gilt die DFARS-Compliance für mich?

A:Unabhängig von der Größe Ihres Unternehmens oder Ihres Vertrags müssen Sie, wenn Sie ein Auftragnehmer oder Unterauftragnehmer der Bundesregierung sind, der CUI verarbeitet, speichert oder übermittelt, einhalten. Cyberkriminelle zielen auf kleinere Unternehmen ab, da diese in der Regel über weniger Sicherheitsmaßnahmen verfügen. Unternehmen auf den unteren Ebenen der Lieferkette sind möglicherweise leichter zu durchdringen, als zu versuchen, in die Netzwerke ihres Hauptziels einzudringen. Ein Angriff auf die Lieferkette kann ein einfacherer Weg sein, um nicht klassifizierte Regierungsinformationen zu kontrollieren, als zu versuchen, direkt auf Regierungsnetzwerke zuzugreifen.

F:Woher weiß ich, ob mein Unternehmen derzeit DFARS-konform ist?

A:Lesen Sie das NIST-Handbuch 162. Dieses Handbuch bietet eine schrittweise Anleitung zur Bewertung der Informationssysteme eines Herstellers anhand der DFARS-Sicherheitsanforderungen.

F:Meine Organisation erfüllt nicht die DFARS-Mindestrichtlinien, aber ich weiß nicht, wo ich mit dem Compliance-Prozess beginnen soll?

A:Die Umsetzung eines von der Regierung genehmigten Cybersicherheitsplans kann eine entmutigende Aufgabe sein. Sie können beginnen, indem Sie die Veröffentlichung NIST SP 800-171 lesen, die die DFARS-Anforderungen umreißt. Sie können sich auch an das MEP National Network wenden, um Sie mit Ihrem lokalen MEP-Zentrum zu verbinden. Lokale MEP-Zentren bieten eine breite Palette kostenloser oder erschwinglicher Dienste und Initiativen an, um Hersteller durch den Compliance-Prozess zu führen. Diese Dienste umfassen Verbindungen zu Cybersicherheitsexperten, die eine detaillierte Lückenanalyse von Protokollen und Verfahren entwickeln und einen Aktionsplan erstellen können, der Schwachstellen und andere Compliance-Probleme behebt.

F:Mein Unternehmen ist kein staatlicher Auftragnehmer, aber ich möchte unsere Cybersicherheitsprotokolle verbessern. Kann ich die DFARS-Richtlinien verwenden?

A:Absolut. Hersteller, die in kommerziellen Lieferketten tätig sind, sollten ernsthaft erwägen, die DFARS-Sicherheitsanforderungen als integralen Aspekt des Managements ihrer organisatorischen Risiken zu implementieren.

Im Zuge der zunehmenden Digitalisierung des Fertigungssektors ist die Notwendigkeit, immer komplexere Cyber-Bedrohungen zu verstehen, abzuschwächen und darauf zu reagieren, zu den Kosten der Geschäftstätigkeit geworden.