Εννέα στους δέκα εργολάβους του Υπουργείου Αμύνης των ΗΠΑ δεν πληρούν τα βασικά κριτήρια cybersecurity, σύμφωνα με έρευνα που έγινε από την CyberSheath.
Δείτε επίσης: DuckLogs malware-as-a-service: Λέει ότι έχει χιλιάδες «πελάτες»
Η έρευνα της CyberSheath περιλάμβανε 300 Κυβερνητικούς εργολάβους του Υπουργείου Αμύνης (DoD), όπου διαπιστώθηκε ότι μόλις το 13% είχαν μεγαλύτερη από το score 70 ή πάνω στο SPRS (Supplier Performance Risk System), το κύριο σύστημα του Υπουργείου Αμύνης για την αξιολόγηση του κινδύνου για εργολάβους που χειρίζονται διαβαθμισμένες πληροφορίες. Σύμφωνα με το DFARS (Defense Federal Acquisition Regulation Supplement) του Υπουργείου Αμύνης, απαιτείται τουλάχιστον η βαθμολογία 110.
“Τα ευρήματα της έκθεσης δείχνουν έναν σαφή κίνδυνο για την εθνική μας ασφάλεια. Συχνά ακούμε για τους κινδύνους των αλυσίδων εφοδιασμού που είναι επιρρεπείς σε κυβερνοεπιθέσεις. Η [αμυντική βιομηχανική βάση] είναι η εφοδιαστική αλυσίδα του Πενταγώνου και βλέπουμε πόσο θλιβερά απροετοίμαστοι είναι οι εργολάβοι παρά το γεγονός ότι βρίσκονται στο στόχαστρο των χάκερ” δήλωσε ο Eric Noonan, Διευθύνων Σύμβουλος της CyberSheath.
Το DFARS βρίσκεται σε ισχύ από το 2017 και είχε σχεδιαστεί για τη διατήρηση των προτύπων cybersecurity της αμυντικής βιομηχανικής βάσης (DIB). Οι εργολάβοι που θα θέλουν να συνεχίσουν την συνεργασία με το υπουργείο Αμύνης θα πρέπει να συμμορφωθούν με το CMMC (Cybersecurity Maturity Model Certification).
Οι περισσότεροι εργολάβοι αντιμετωπίζουν προβλήματα συμμόρφωσης και υιοθέτησης τεχνολογίας
Πράγματι, σύμφωνα με την έκθεση πολλοί εργολάβοι θεωρούν δύσκολη την κατανόηση των απαιτήσεων, αναφέρει ο Jacob Horne, επικεφαλής ασφαλείας της εταιρείας Summit7.
Σύμφωνα με τα λεγόμενα του Horne, το τμήμα του Υπουργείου Αμύνης θα πρέπει να παρέχει προδιαγραφές, παραδείγματα και αρχιτεκτονικές αναφοράς για να βοηθήσει τους εργολάβους να κατανοήσουν πώς να συμμορφώνονται με τους κανόνες.
Παρόλα αυτά, 8 στους δέκα εργολάβους είπαν πώς δεν έχουν ένα ολοκληρωμένο σύστημα ελέγχου ταυτότητας πολλαπλών παραγόντων 2FA. Ενώ έχουν αναπτυχθεί τόσες σειρές εργαλείων και τεχνολογίες για την παρακολούθηση cyber απειλών και κακόβουλης δραστηριότητας στον κυβερνοχώρο, λίγοι εργολάβοι φαίνεται να τα χρησιμοποιούν.
Περισσότεροι από 7 στους 10 δεν έχουν EDR (σύστημα ανίχνευσης και απόκρισης τελικού σημείου), όπως δεν έχουν και SIEM (security information and event management).
Δείτε επίσης: Η τεχνητή νοημοσύνη (AI) μπορεί μια μέρα να χρησιμοποιηθεί εναντίον μας
“Όλες αυτές οι πρακτικές, απαιτούν εκπαίδευση εργατικού δυναμικού, εταιρική δέσμευση, επένδυση σε υλικό και συνεχή δαπάνη από τους παρόχους υπηρεσιών”, δήλωσε ο Robert Metzger.
Δε θα έπρεπε να μας κάνει τόσο πολύ εντύπωση, μιας και για όλα αυτά απαιτούνται σημαντικά έξοδα. Η κυβέρνηση των ΗΠΑ είχε σταματήσει να επενδύει στην πληροφορική και στο cybersecurity εδώ και δεκαετίες όπως λέει ο Eric Noonan.
Σύμφωνα με τον Noonan, οι αμυντικοί εργολάβοι θα μπορούσαν να ξεπεράσουν τις προκλήσεις συμμόρφωσης, μεταβαίνοντας μαζικά στο cloud.
Ο Noonan συνέστησε στους εργολάβους να συνεργάζονται με βιομηχανικούς συνεργάτες, όπως οι πάροχοι υπηρεσιών διαχείρισης και οι πάροχοι επαγγελματικών υπηρεσιών, προκειμένου να διαχειρίζονται καλύτερα τους κινδύνους ασφαλείας. Ο Metzger συμφώνησε με τη πρόταση, αλλά προειδοποίησε τους εργολάβους να είναι πολύ προσεκτικοί με τους εξωτερικούς συνεργάτες όσον αφορά τα ευαίσθητα δεδομένα.
Όσον αφορά το τμήμα του Υπουργείο Αμύνης, θα πρέπει να ενθαρρύνει τη χρήση αυτών των παρόχων ενώ θα πρέπει να σκεφτεί τον τρόπο αξιολογήσει την ασφάλειά τους.
Πηγή πληροφοριών: scmagazine.com
