EUA: Empreiteiros federais de defesa não estão protegendo adequadamente os segredos militares
Os contratados de defesa detêm informações vitais para a segurança nacional e em breve serão obrigados a atender à conformidade do Cybersecurity Maturity Model Certification (CMMC) para manter esses segredos seguros.
Os hackers de estado-nação estão ativa e especificamente visando esses contratados com campanhas sofisticadas de ataque cibernético.
Surpreendentes 87% dos contratados têm uma pontuação abaixo de 70 do Sistema de Risco de Desempenho do Fornecedor (SPRS), a métrica que mostra o quão bem um contratado atende aos requisitos do Suplemento de Regulamento de Aquisição Federal de Defesa (DFARS).
O DFARS , que é lei desde 2017, exige uma pontuação de 110 para cumprimento total. Os críticos do sistema consideraram 70 como “bom o suficiente”, mas a esmagadora maioria dos empreiteiros ainda não conseguiu.
Um estudo sobre a maturidade da segurança cibernética do DIB foi conduzido pela Merrill Research e encomendado pela CyberSheath. Os dados da pesquisa de 300 contratados do Departamento de Defesa (DoD) dos EUA foram testados com um nível de confiança de 95%, o que significa que há uma probabilidade de 95% de que diferenças significativas sejam reais e não devidas a erros de amostragem.
“As descobertas do relatório mostram um perigo claro e presente para nossa segurança nacional”, disse Eric Noonan , CEO da CyberSheath . “Muitas vezes ouvimos sobre os perigos das cadeias de suprimentos que são suscetíveis a ataques cibernéticos. O DIB é a cadeia de suprimentos do Pentágono, e vemos como os empreiteiros estão lamentavelmente despreparados, apesar de estarem na mira dos agentes de ameaças. Nossos segredos militares não estão seguros e há uma necessidade urgente de melhorar o estado da segurança cibernética para esse grupo, que muitas vezes não atende nem mesmo aos requisitos mais básicos de segurança cibernética.”
Cerca de 80% do DIB não monitora seus sistemas 24 horas por dia, 7 dias por semana, 365 dias por ano e não usa serviços de monitoramento de segurança baseados nos Estados Unidos. Outras deficiências foram evidentes nas seguintes categorias que serão necessárias para alcançar a conformidade CMMC:
- 80% carecem de uma solução de gerenciamento de vulnerabilidade
- 79% carecem de um sistema abrangente de autenticação multifator (MFA)
- 73% carecem de uma solução de detecção e resposta de endpoint (EDR)
- 70% não implantaram informações de segurança e gerenciamento de eventos (SIEM)
Esses controles de segurança são legalmente exigidos do DIB e, como não são cumpridos, há um risco significativo para o DoD e sua capacidade de conduzir defesa armada. Além de não estarem em conformidade, surpreendentes 82% dos contratados acham “moderadamente a extremamente difícil entender os regulamentos governamentais sobre segurança cibernética”.