Logotipo de Zephyrnet

Inteligencia de datos generativa

Defensa

Estados Unidos acaba de tomar en serio la ciberseguridad. Los contratistas no están listos.

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 119

Las manos del gobierno federal están más que ocupadas en el seguimiento de múltiples guerras en el extranjero y del ciclo electoral que se avecina. En medio de estos conflictos urgentes, los líderes de los Cinco Ojos recientemente participaron en una entrevista sin precedentes con 60 Minutos, llamando a la República Popular China “la amenaza definitoria de esta generación”.

La primera aparición pública de la alianza de inteligencia de habla inglesa de Estados Unidos en un momento de gran malestar en el extranjero dice mucho sobre la importancia de proteger la información confidencial en el ciberespacio.

En los últimos meses, las agencias estadounidenses fueron violados por piratas informáticos chinos que robaron 60,000 correos electrónicos del Departamento de Estado en su recorrido de datos, y sabemos la inteligencia de defensa está dirigida, también. En muchos casos, las empresas que poseen dicha inteligencia no son conscientes de su propio papel en la seguridad nacional.

Hace casi una década, el Departamento de Defensa (DoD) implementó un marco de seguridad, el Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS), para salvaguardar la propiedad intelectual de nuestra nación. A pesar de su inclusión en más de 1 millón de contratos, DFARS en gran medida no se ha aplicado.

Hasta ahora.

El Departamento de Defensa está siguiendo la publicación en noviembre de la regla propuesta sobre la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) 2.0, que incluye un mecanismo de aplicación crucial para mantener la base industrial de defensa honesta en la protección de información confidencial.

El requisito de controles de seguridad como autenticación multifactor, monitoreo de red y notificación de incidentes ha estado incorporado durante mucho tiempo en la mayoría de los contratos gubernamentales con el Departamento de Defensa, pero a los contratistas se les permitió autocertificar que habían implementado los controles requeridos. El sistema hasta la fecha ha sido de confianza, pero nunca de verificación.

Microsoft dice Las amenazas a los Estados-nación están aumentando (particularmente desde Rusia, China, Irán y Corea del Norte) y los actores de las amenazas están aumentando. recurriendo a nuevos vectores como la plataforma social Discord para apuntar a infraestructuras críticas.

Con más de 300,000 contratistas en la base industrial de defensa, los piratas informáticos tienen una tremenda oportunidad de robar secretos militares. Obligar a los contratistas de defensa a cumplir con los mínimos obligatorios de ciberseguridad debería limitar significativamente ese riesgo, pero a los contratistas les queda un largo camino por recorrer para lograr el cumplimiento de lo que muchos consideran higiene básica de ciberseguridad.

A estudio realizado por Merrill Research encontró que sólo el 36% de los contratistas presentaron puntuaciones de cumplimiento requeridas, 10 puntos porcentuales menos que el informe inaugural del año pasado. Entre los que sí logró Al enviar puntuaciones, el promedio fue un lamentable -15, muy por debajo de la puntuación de 110 que representa el cumplimiento total.

El estudio también mostró que los contratistas eligen a qué áreas de cumplimiento se adhieren. Solo el 19% de los encuestados implementó soluciones de gestión de vulnerabilidades y el 25% tiene soluciones seguras de respaldo de TI, ambos elementos básicos de la ciberseguridad básica. El cuarenta por ciento va más allá de lo que exige la ley y niega explícitamente el uso de Huawei, lo que la Comisión Federal de Comunicaciones designado como riesgo para la seguridad nacional.

Esta selectividad muestra que los contratistas comprenden el riesgo pero no siempre lo abordan, probablemente porque nunca ha habido posibilidad de ser auditados para determinar su cumplimiento. Sería un error creer que el gobierno está imponiendo unilateralmente nuevas reglas a los contratistas de defensa. De hecho, CMMC 2.0 es la culminación de una asociación público-privada continua de una década de duración.

Aplicación de CMMC 2.0

La industria ha estado sentada en la mesa todo el tiempo. Ahora, finalmente necesita hacer la tarea de la que se ha oído hablar durante años e implementar controles de seguridad para que podamos lograr avances significativos en la protección de los secretos de nuestra nación.

Hemos llegado a esperar que los titanes tecnológicos, incluidos Microsoft y Google, se tomen la seguridad en serio, y deberíamos exigir los mismos estándares a los contratistas de defensa a quienes se les confía nuestra seguridad nacional.

La aplicación de CMMC 2.0 protege la información confidencial de defensa y los activos de seguridad nacional que han estado en peligro durante demasiado tiempo. China y otros adversarios explotan agresivamente cualquier vulnerabilidad que puedan encontrar. Ahora que el Departamento de Defensa ha fijado una fecha de entrada en vigor para los estándares de cumplimiento, ha llegado el momento de que los contratistas de defensa adopten los requisitos que han estado incorporados durante mucho tiempo en sus contratos existentes e implementen plenamente los estándares mínimos obligatorios de ciberseguridad.

Mantener la superioridad tecnológica y los secretos militares estadounidenses depende de que las empresas de toda la base industrial de defensa adopten su compromiso con la ciberseguridad. Al adoptar la visión de asociación público-privada detrás de CMMC 2.0 y lograr la certificación, los contratistas pueden validarse a sí mismos como administradores de la seguridad de la nación.

Eric Noonan es fundador y director ejecutivo de CyberSheath, un proveedor de servicios de seguridad gestionados para empresas y gobiernos.

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.