Кибернетический ландшафт стал настолько сложным, что утечка данных теперь не является чем-то новым. Хакеры могут взять в свои руки бесчисленные источники критически важных данных и использовать их в своих интересах, затрагивая миллионы и миллионы потребителей по всему миру.
Тем не менее, есть также много утечек данных, которые не на виду. В федеральном правительстве существует золотая жила, которая не так широко документирована, но, как и все остальное, должна храниться в безопасности. Последствия кражи этих данных чрезвычайно серьезны, с риском для государственной, национальной и глобальной безопасности, если они попадут в чужие руки.
Чтобы бороться с этим, федеральное правительство должно придерживаться многочисленных политик и правил для обеспечения безопасности хранящихся данных. Но не все эти правила и политики применяются к организациям, находящимся вне федерального правительства, например, к подрядчикам, которые обрабатывают конфиденциальные федеральные данные при предоставлении своих услуг. Эта информация должна быть защищена в соответствии с теми же стандартами, которые применяются к федеральной организациям, и одно из правил, которое привлекает к себе внимание в США, — это DFARS (Defense Federal Acquisition Regulation Supplement). Дополнение к Федеральному постановлению о закупках в сфере обороны, целью которого является решение этой проблемы.
Соответствие DFARS имеет первостепенную цель защиты контролируемой не секретной информации (CUI) и является обязательным для любой внешней организации, которая вела дела с Министерством обороны (DoD) и в результате обрабатывает, хранит и передает CUI. В частности, статья 252.204-7012 DFARS вынуждает подрядчиков DoD внедрять процессы и средства контроля, чтобы обеспечить безопасность CUI и наличие механизмов отчетности для обеспечения сообщений об инцидентах в области кибербезопасности.
Объем DFARS увеличился в декабре 2017 года, чтобы ввести обязательные требования кибербезопасности для подрядчиков и субподрядчиков в DoD. Несмотря на это, осведомленность о регулировании все еще низка, и многие подрядчики не готовы к предстоящему аудиту, не обращая внимания на проблемы, которые он может принести.
Кому должен быть предоставлен доступ?
Это фундаментальный вопрос, который задают многие организации, и является ключевой проблемой в среде подрядчиков DoD. Какому персоналу должен быть предоставлен доступ к какой информации? Чтобы придерживаться требования NIST SP 800-171, подрядчик должен «установить и управлять криптографическими ключами для криптографии, используемой в организационных системах».
На этот вопрос отвечают безопасные системы управления на основе ролей, которые разрешают только авторизованный доступ к политикам безопасности и связанным ключам шифрования. С этим подрядчиком могут быть уверены, что CUI в системе является безопасным и защищенным; в то время, обеспечивая соблюдение требований DFARS. И решение является будущим; даже если ключи были украдены один раз, они не смогут использоваться снова, поскольку ключи шифрования изменяются в соответствии с политикой и интервалом, предписанным авторизованным пользователем.
Время уходит
Мы знаем, что выполнение требований кибербезопасности DFARS может создать несколько проблем для подрядчиков DoD, но сейчас самое время принять правильную политику и стратегию. У DoD теперь есть различные средства защиты, с оговорками о кибербезопасности, включенными как в основные, так и в субподрядные договоры поставщиков для проектов DoD. Здесь действительно нет выхода: поставщики, которые не соблюдают правила, рискуют не только потерять деловые возможности с DoD, но, что еще хуже, могут нести ответственность за нарушение договорных действий. Это не вариант, это не выбор, и это не должно быть сложным. Пришло время перестать уклоняться от правил и встретиться с ними лицом к лицу.
