5 veelgestelde vragen van fabrikanten over cyberbeveiligingsvereisten van de overheid

Dit artikel verscheen oorspronkelijk op Industry Today. Gastblogpost door Jennifer Kurtz, de Cyber ​​Program Director bij Manufacturer's Edge, een NIST MEP Center in Colorado en een vertegenwoordiger van het MEP National Network ^TM .

Volgens het Amerikaanse ministerie van Binnenlandse Veiligheid is de productie de op één na meest gerichte sector op basis van het aantal gerapporteerde cyberaanvallen. Verder zien cybercriminelen kleine en middelgrote fabrikanten (SMM's) als voornaamste doelwitten, omdat veel van deze bedrijven niet over adequate preventieve maatregelen beschikken.

Voor het Ministerie van Defensie (DoD), aannemers en onderaannemers is business as usual niet meer. De federale overheid, die in toenemende mate afhankelijk is van externe dienstverleners om zaken te doen, heeft de lat hoger gelegd als het gaat om de bescherming van gecontroleerde niet-geclassificeerde informatie (CUI) in niet-federale informatiesystemen en organisaties. Vanaf 31 december 2017 waren alle contractanten van de federale overheid verplicht om te voldoen aan de minimale cyberbeveiligingsvereisten van het Defense Acquisition Regulation Supplement (DFARS), anders liepen ze het risico hun contracten te verliezen. Ondanks deze achterstallige deadline, missen veel SMM's de kennis en middelen om hun systemen te upgraden en weten ze niet hoe ze aan deze 110 nieuwe beveiligingsvereisten kunnen voldoen. Belangrijk is dat de Federal Acquisition Regulation, die van toepassing is op overheidscontractanten die namens de General Services Administration (GSA) en de National Aeronautics and Space Administration (NASA) werken, binnenkort soortgelijke cyberbeveiligingsvereisten zal bevatten.

Het MEP National Network, een publiek-private samenwerking die uitgebreide, beproefde oplossingen levert aan Amerikaanse fabrikanten, heeft actief voorlichting en hulp geboden om Amerikaanse fabrikanten te helpen hun informatiemiddelen te beschermen tegen de risico's van cyberaanvallen. De organisatie en haar partners dienen ook als nationale hulpbron voor Amerikaanse fabrikanten die adequate beveiliging willen implementeren om opgeslagen, verwerkte en verzonden gecontroleerde niet-geclassificeerde informatie te beschermen.

Hieronder volgen vijf van de meest gestelde vragen die ik hoor van SMM's over de DFARS-beveiligingsrichtlijnen van de federale overheid.

V:Wat is gecontroleerde niet-geclassificeerde informatie (CUI) en hoe weet ik of ik dit soort informatie als onderdeel van mijn contract behandel?

A:Gecontroleerde niet-geclassificeerde informatie (CUI) zijn gegevens die eigendom zijn van de overheid. Het is informatie die de overheid veilig wil bewaren, maar die niet essentieel is voor de nationale veiligheid. De DFARS-clausule 252.204.7012 kan in uw contract voorkomen, maar wordt alleen uitgevoerd als u CUI verwerkt, opslaat of verzendt. CUI kan het volgende omvatten:onderzoeks- en technische gegevens, technische tekeningen, specificaties, handleidingen, technische rapporten, studies en analyses, en uitvoerbare code en broncode van computersoftware. CUI heeft speciale markerings- en verwerkingsinstructies zoals FOUO (alleen voor officieel gebruik). Zie het CUI-register voor meer informatie over CUI-markeringen.

V:Is DFARS-naleving wettelijk verplicht?

A:Elke aannemer of onderaannemer die een DFARS-clausule in zijn contract heeft, is wettelijk verplicht om hieraan te voldoen. Als u ten onrechte beweert aan de wet te voldoen, loopt u het risico uw overheidscontract en alle bijbehorende inkomsten te verliezen en komt u waarschijnlijk niet in aanmerking voor toekomstige overheidscontracten.

V:Ik heb een klein bedrijf en mijn overheidscontracten zijn kleinschalig. Is de naleving van DFARS op mij van toepassing?

A:Ongeacht de grootte van uw bedrijf of uw contract, als u een federale overheidscontractant of onderaannemer bent die CUI verwerkt, opslaat of verzendt, moet u hieraan voldoen. Cybercriminelen richten zich op kleinere bedrijven, omdat ze doorgaans minder beveiligingsmaatregelen treffen. Bedrijven op lagere niveaus van de toeleveringsketen zijn misschien gemakkelijker binnen te dringen dan te proberen in te breken in de netwerken van hun primaire doelwit. Een aanval op de toeleveringsketen kan een gemakkelijkere manier zijn om niet-geclassificeerde overheidsinformatie te controleren dan rechtstreeks toegang te krijgen tot overheidsnetwerken.

V:Hoe weet ik of mijn bedrijf momenteel DFARS-compatibel is?

A:Raadpleeg het NIST-handboek 162. Dit handboek biedt een stapsgewijze handleiding voor het beoordelen van de informatiesystemen van een fabrikant aan de hand van de DFARS-beveiligingsvereisten.

V:Mijn organisatie voldoet niet aan de minimale DFARS-richtlijnen, maar ik weet niet waar ik moet beginnen met het nalevingsproces?

A:Het implementeren van een door de overheid goedgekeurd cyberbeveiligingsplan kan een ontmoedigende taak zijn. U kunt aan de slag door de NIST SP 800-171-publicatie te lezen waarin de DFARS-vereisten worden uiteengezet. U kunt ook contact opnemen met het MEP National Network om u in contact te brengen met uw lokale MEP Center. Lokale MEP-centra bieden een breed scala aan gratis of betaalbare diensten en initiatieven om fabrikanten door het nalevingsproces te leiden. Deze services omvatten verbindingen met cyberbeveiligingsexperts die een gedetailleerde hiaatanalyse van protocollen en procedures kunnen ontwikkelen en een actieplan kunnen maken dat kwetsbaarheden en andere nalevingsproblemen aanpakt.

V:Mijn bedrijf is geen overheidscontractant, maar ik wil graag onze cyberbeveiligingsprotocollen verbeteren. Kan ik de DFARS-richtlijnen gebruiken?

een:Absoluut. Fabrikanten die actief zijn in commerciële toeleveringsketens moeten serieus overwegen om de DFARS-beveiligingsvereisten te implementeren als een integraal aspect van het beheer van hun organisatorische risico's.

Naarmate de productiesector steeds meer gedigitaliseerd wordt, is de noodzaak om steeds complexere cyberdreigingen te begrijpen, te beperken en erop te reageren de kostprijs van zakendoen geworden.