La cadena de suministro del Pentágono no cumple con los estándares mínimos para la seguridad nacional de EE. UU.

La mayoría de los contratistas que contrató el Departamento de Defensa en los últimos cinco años no cumplieron con los estándares mínimos de seguridad cibernética requeridos, lo que representa un riesgo significativo para la seguridad nacional de EE. UU.

proveedor de servicios gestionados Cibervaina el 30 de noviembre publicó un informe que muestra que el 87% de la cadena de suministro del Pentágono no cumple con los mínimos básicos de ciberseguridad. Esas brechas de seguridad están sometiendo a importantes contratistas principales de defensa y sus subcontratistas a ataques cibernéticos de una variedad de actores de amenazas que ponen en riesgo la seguridad nacional de los EE. UU.

Esos riesgos han sido bien conocidos durante algún tiempo sin intentos de solucionarlos. Este estudio independiente de la Base Industrial de Defensa (DIB) es el primero en mostrar que los contratistas federales no protegen adecuadamente los secretos militares, según CyberSheath.

El DIB es una cadena de suministro compleja compuesta por 300.000 principales y subcontratistas. El gobierno permite que estas empresas aprobadas compartan archivos confidenciales y se comuniquen de forma segura para realizar su trabajo.

Los contratistas de defensa pronto deberán cumplir con la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para mantener esos secretos seguros. Mientras tanto, el informe advierte que los piratas informáticos del estado-nación están apuntando activa y específicamente a estos contratistas con sofisticadas campañas de ciberataques.

“Otorgar contratos a contratistas federales sin validar primero sus controles de seguridad cibernética ha sido un completo fracaso”, dijo a TechNewsWorld Eric Noonan, director ejecutivo de CyberSheath.

Los contratistas de defensa han recibido el mandato de cumplir con los requisitos de cumplimiento de seguridad cibernética durante más de cinco años. Esas condiciones están integradas en más de un millón de contratos, agregó.

Detalles peligrosos

El Merrill Research Report 2022, encargado por CyberSheath, reveló que el 87 % de los contratistas federales tienen una puntuación inferior a 70 en el Sistema de Riesgo de Desempeño del Proveedor (SPRS). La métrica muestra qué tan bien un contratista cumple con los requisitos del Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS).

DFARS ha sido ley desde 2017 y requiere una puntuación de 110 para el pleno cumplimiento. Los críticos del sistema han considerado anecdóticamente que 70 es «suficientemente bueno». Aun así, la gran mayoría de los contratistas aún se quedan cortos.

ANUNCIO PUBLICITARIO

“Los hallazgos del informe muestran un peligro claro y presente para nuestra seguridad nacional”, dijo Eric Noonan. “A menudo escuchamos sobre los peligros de las cadenas de suministro que son susceptibles a los ataques cibernéticos”.

El DIB es la cadena de suministro del Pentágono, y vemos cuán lamentablemente mal preparados están los contratistas a pesar de estar en la mira de los actores de amenazas, continuó.

“Nuestros secretos militares no están seguros y existe una necesidad urgente de mejorar el estado de la ciberseguridad para este grupo, que a menudo no cumple ni siquiera con los requisitos de ciberseguridad más básicos”, advirtió Noonan.

Más hallazgos del informe

Los datos de la encuesta provinieron de 300 contratistas del Departamento de Defensa de EE. UU., con una precisión probada al nivel de confianza del 95 %. El estudio se completó en julio y agosto de 2022, con CMMC 2.0 en el horizonte.

Aproximadamente el 80% de los usuarios de DIB no pudieron monitorear sus sistemas informáticos las 24 horas del día y carecían de servicios de monitoreo de seguridad basados en EE. UU. Otras deficiencias fueron evidentes en las siguientes categorías que se requerirán para lograr el cumplimiento de CMMC:

El 80% carece de una solución de gestión de vulnerabilidades
El 79 % carece de un sistema completo de autenticación multifactor (MFA)
El 73 % carece de una solución de detección y respuesta de punto final (EDR)
El 70% no ha implementado gestión de eventos e información de seguridad (SIEM)

Estos controles de seguridad son requeridos legalmente por el DIB y, dado que no se cumplen, existe un riesgo significativo que enfrenta el Departamento de Defensa y su capacidad para llevar a cabo una defensa armada. Además de ser en gran medida incumplidores, el 82 % de los contratistas encuentran “moderada o extremadamente difícil entender las regulaciones gubernamentales sobre seguridad cibernética.

Confusión rampante entre los contratistas

Según el informe, algunos contratistas de defensa en todo el DIB se han centrado en la seguridad cibernética solo para verse estancados por obstáculos.

Cuando se les pidió que calificaran los desafíos de informes de DFARS en una escala de uno a 10 (siendo 10 extremadamente desafiante), aproximadamente el 60 % de todos los encuestados calificaron la «comprensión de los requisitos» con siete de 10 o más. También ocupaban un lugar destacado en la lista de desafíos la documentación y los informes de rutina.

Los principales obstáculos enumerados por los contratistas son los desafíos para comprender los pasos necesarios para lograr el cumplimiento, la dificultad de implementar políticas y procedimientos sostenibles de CMMC y el costo total involucrado.

Desafortunadamente, esos resultados fueron muy similares a los que esperaba CyberSheath, admitió Noonan. Señaló que la investigación confirmó que incluso las medidas fundamentales de ciberseguridad, como la autenticación multifactor, se habían ignorado en gran medida.

“Esta investigación, combinada con la Caso de la Ley de Reclamaciones Falsas contra el gigante de defensa Aerojet Rocketdyne, muestra que los contratistas de defensa grandes y pequeños no cumplen con las obligaciones contractuales de ciberseguridad y que el Departamento de Defensa tiene un riesgo sistémico en toda su cadena de suministro”, dijo Noonan.

Sin gran sorpresa

Noonan cree que el Departamento de Defensa sabe desde hace mucho tiempo que la industria de la defensa no está abordando la seguridad cibernética. Los informes noticiosos sobre las infracciones aparentemente interminables de los estados-nación por parte de los contratistas de defensa, incluidos incidentes a gran escala como los casos de SolarWinds y False Claims Act, prueban ese punto.

“También creo que el Departamento de Defensa se ha quedado sin paciencia después de dar a los contratistas años para abordar el problema. Solo ahora el Departamento de Defensa hará de la ciberseguridad un pilar de la adquisición de contratos”, dijo Noonan.

Señaló que el nuevo principio planeado del Departamento de Defensa sería «Sin ciberseguridad, sin contrato».

ANUNCIO PUBLICITARIO

Noonan admitió que algunas de las luchas que expresaron los contratistas sobre las dificultades para comprender y cumplir con los requisitos cibernéticos tienen mérito.

“Es un punto justo porque algunos de los mensajes del gobierno han sido inconsistentes. Sin embargo, en realidad, los requisitos no han cambiado desde aproximadamente 2017”, ofreció.

Que sigue

Quizás el Departamento de Defensa seguirá una política más estricta con los contratistas. Si los contratistas cumplieran con lo que exige la ley en 2017, toda la cadena de suministro estaría en un lugar mucho mejor hoy. A pesar de algunos desafíos de comunicación, el Departamento de Defensa ha sido increíblemente consistente en lo que se requiere para la seguridad cibernética del contratista de defensa, agregó Noonan.

La investigación actual ahora se encuentra sobre una montaña de evidencia que demuestra que los contratistas federales tienen mucho trabajo por hacer para mejorar la seguridad cibernética. Está claro que el trabajo no se realizará sin la aplicación del gobierno federal.

“La confianza sin verificación falló, y ahora el Departamento de Defensa parece estar actuando para hacer cumplir la verificación”, dijo.

Respuesta del Departamento de Defensa aún pendiente

TechNewsWorld envió preguntas por escrito al Departamento de Defensa sobre las críticas a la cadena de suministro en el informe CyberSheath. Un portavoz de CYBER/IT/DOD CIO del Departamento de Defensa respondió que tomaría algunos días profundizar en los problemas. Actualizaremos esta historia con cualquier respuesta que recibamos.

Fuente

Unreal y Unreal Tournament son gratuitos en Internet Archive, con la bendición de Epic

Las PC con NPU adaptadas para IA ahora representan una de cada cinco PC enviadas, dice Canalys

El Black Friday es un buen momento para comprar AirPods, así que consulte estas primeras ofertas

Samsung está renovando SmartThings con nuevas funciones de interfaz de usuario e inteligencia artificial

La MacBook Pro M4 utiliza la tecnología de pantalla Quantum Dot

Actualizaciones de precios e impuestos para aplicaciones, compras dentro de la aplicación y suscripciones – Últimas noticias – Desarrollador de Apple

La cadena de suministro del Pentágono no cumple con los estándares mínimos para la seguridad nacional de EE. UU.

Detalles peligrosos

Más hallazgos del informe

Confusión rampante entre los contratistas

Sin gran sorpresa

Que sigue

Respuesta del Departamento de Defensa aún pendiente

Microsoft convierte Honeypot en uvas amargas para los merodeadores web

El ecosistema Apple Vision Pro muestra un crecimiento lento

La inflación retrasa la compra de nuevos teléfonos para muchos estadounidenses, según encuesta

Lista completa de portátiles Intel Lunar Lake (Core Ultra 9 288V, Ultra 7 258V)

Asus Vivobook S 15 S5507 y ProArt PZ13 2024, PC Copilot+ con hardware Snapdragon X

Cómo Apple superó a Google y Microsoft en la implementación de IA

Genshin Impact: Cómo obtener más tarjetas Genius Invokation

Genshin Impact: Wanderer Scaramouche guía de platos especiales