Zusammenarbeit zur Erlangung der Compliance:Wie sich 2 wichtige Cybersicherheitsannahmen auf DoD-Lieferanten auswirken

Es wird geschätzt, dass es in der Defense Industrial Base („DIB“) rund 300.000 Unternehmen im verarbeitenden und nicht verarbeitenden Sektor gibt. Etwa 99 % des DIB sind kleine und mittelständische Unternehmen, das sind Unternehmen mit weniger als 500 Mitarbeitern.

Seit Dezember 2017 haben alle Unternehmen der DIB die Defence Federal Acquisition Regulation Supplement („DFARS“)-Klausel (252.204-7012 - Safeguarding Covered Defense Information &Cyber ​​Incident Reporting) in ihren Verträgen. Nach fast drei Jahren scheint es im DIB eine Reihe von falschen Annahmen zu geben, von denen zwei tiefer diskutiert werden müssen...

Die erste Annahme:Selbstbescheinigungen Sind keine große Sache

Infolge der Annahme der Vertragsbedingungen mit dem DoD bestätigen die Hersteller selbst, dass sie „angemessene Cybersicherheit“ verwenden, um kontrollierte nicht klassifizierte Informationen („CUI“) zu schützen. Angemessene Cybersicherheit wird in der DFARS-Klausel als vollständige Umsetzung der 110 Sicherheitsanforderungen definiert, die in der NIST-Sonderpublikation 800-171 beschrieben sind.

Viele Hersteller gehen davon aus, dass ihr Cybersicherheitsprogramm ausreicht. Die meisten CMTC-Kunden beginnen ihr Cybersicherheitsengagement normalerweise mit der Einschätzung, dass sie 70 - 80 % konform sind. Der laufende Durchschnitt nach einer grundlegenden Gap-Analyse entspricht jedoch etwa 34 %.

In früheren Blogbeiträgen wurden die oft übersehenen rechtlichen Risiken im Zusammenhang mit der Nichteinhaltung von Cybersicherheitsanforderungen behandelt. Wenn ein Unternehmen mit dem Verteidigungsministerium (DoD) Geschäfte machen möchte, muss es letztendlich die Vertragsbedingungen akzeptieren und daher eine konforme Cybersicherheitsposition selbst bescheinigen.

Die zweite Annahme:Externe IT-Anbieter allein sind die Antwort

Vielen kleinen Unternehmen fehlt es an dediziertem IT-Personal und -Ressourcen. Aus diesem Grund nutzen viele Hersteller externe IT-Dienstleister. Damit diese kleinen Unternehmen funktionieren können, wird externen Dienstleistern ein enormer administrativer Zugriff auf die Unternehmensinformationssysteme anvertraut. Oftmals gehen Hersteller davon aus, dass alles wie geplant voranschreitet. Hersteller müssen ihre IT-Drittanbieter beaufsichtigen, um zu verstehen, welche Maßnahmen ergriffen werden. Die Cyber-Reise des Herstellers mit einem IT-Anbieter erfolgt in Zusammenarbeit mit dem Unternehmen, das an den Aktivitäten und Ergebnissen der Arbeit eines Anbieters beteiligt ist.

Darüber hinaus steht in Bezug auf die Exposition etwa die Hälfte der 110 Sicherheitsanforderungen in direktem Zusammenhang mit dem technischen Betrieb und den technologischen Lösungen, die normalerweise von einem IT-Drittanbieter bereitgestellt werden. Einige Cybersicherheitsmaßnahmen sind für den Geschäftsbetrieb so grundlegend, dass die Regierung vernünftigerweise davon ausgegangen ist, dass alle DoD-Lieferanten proaktiv ihr eigenes Risiko managen. Es ist ein Muss, dass der Hersteller und der IT-Anbieter zusammenarbeiten, um die DoD-Konformität zu erreichen. Der DoD-Lieferant trägt die Verantwortung für die Einhaltung langfristig.

Zusammengenommen können diese beiden wichtigen falschen Annahmen zu enormen technischen und Compliance-Schulden führen.

Die Cybersicherheits-Compliance-Prüfung durch die Regierung ist auf dem Weg, daher ist der beste Weg, Ihren IT-Anbieter zu beaufsichtigen und zusammenzuarbeiten, um zu Ihrer allgemeinen Compliance beizutragen.

Empfohlen Nächste Schritte

1) Konzentrieren Sie sich auf Ihre bestehenden DFARS-Anforderungen.

2) Nehmen Sie sich die Zeit, die Annahmen, die NIST SP 800-171 zugrunde liegen, gründlich zu verstehen.

3) Richten Sie einen robusten Drittanbieter-Managementprozess ein.

4) Nehmen Sie sich die Zeit, um die vertraglichen Flow-Down-Verpflichtungen gründlich zu verstehen.

Für einen kurzen Überblick über das gesamte Regulierungsökosystem und eine eingehendere Diskussion der in diesem Beitrag beschriebenen Themen können Sie sich das On-Demand-CMTC-Webinar hier ansehen.