home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Samenwerken om naleving te verkrijgen:hoe 2 belangrijke cyberbeveiligingsveronderstellingen DoD-leveranciers beïnvloeden

Naar schatting zijn er ongeveer 300.000 bedrijven in de Defense Industrial Base ("DIB") in de productie- en niet-productiesectoren. Ongeveer 99% van de DIB bestaat uit kleine en middelgrote bedrijven, dit zijn bedrijven met minder dan 500 werknemers.

Sinds december 2017 hebben alle bedrijven in de DIB de Defense Federal Acquisition Regulation Supplement (“DFARS”)-clausule (252.204-7012 - Safeguarding Covered Defense Information &Cyber ​​Incident Reporting) in hun contracten opgenomen. Na bijna drie jaar blijken er een aantal onjuiste veronderstellingen in de DIB te zijn, waarvan er twee een diepere discussie voeren...

De eerste veronderstelling:zelfverklaringen Maakt niet uit

Als gevolg van het accepteren van de voorwaarden van een contract met het DoD, verklaren fabrikanten zelf dat ze "adequate cyberbeveiliging" gebruiken om gecontroleerde niet-geclassificeerde informatie ("CUI") te beschermen. Adequate cyberbeveiliging wordt door de DFARS-clausule gedefinieerd als het volledig implementeren van de 110 beveiligingsvereisten die zijn uiteengezet in NIST Special Publication 800-171.

Veel fabrikanten gaan ervan uit dat hun cyberbeveiligingsprogramma voldoende is. De meeste CMTC-klanten beginnen hun cyberbeveiligingsbetrokkenheid gewoonlijk door te schatten dat ze 70% - 80% compliant zijn. Het lopende gemiddelde na een fundamentele gap-analyse is echter ongeveer 34% conform.

Eerdere blogposts hebben de vaak over het hoofd gezien juridische risico's behandeld die samenhangen met het niet-naleven van cyberbeveiligingsvereisten. Als een bedrijf zaken wil doen met het Ministerie van Defensie (DoD), moet het uiteindelijk de voorwaarden van het contract accepteren en dus zelf getuigen van een conforme cyberbeveiligingshouding.

De tweede veronderstelling:alleen externe IT-providers zijn het antwoord

Veel kleine bedrijven hebben geen toegewijd IT-personeel en -middelen. Als gevolg hiervan maken veel fabrikanten gebruik van externe IT-serviceproviders. Om deze kleine bedrijven te laten functioneren, wordt aan externe dienstverleners een enorme administratieve toegang tot bedrijfsinformatiesystemen toevertrouwd. Vaak gaan fabrikanten ervan uit dat alles volgens plan verloopt. Fabrikanten moeten toezicht houden op hun externe IT-providers om te begrijpen welke acties worden ondernomen. De cyberreis van de fabrikant met een IT-provider is een samenwerking met het bedrijf dat zich bezighoudt met de activiteiten en resultaten van het werk van een provider.

Bovendien houdt in termen van blootstelling ongeveer de helft van de 110 beveiligingsvereisten rechtstreeks verband met de technische operaties en technologische oplossingen die normaal gesproken worden geleverd door een externe IT-provider. Sommige cyberbeveiligingsmaatregelen zijn zo fundamenteel voor de bedrijfsvoering dat de overheid er redelijkerwijs van uitging dat alle DoD-leveranciers hun eigen risico proactief zouden beheren. Het is een must dat de fabrikant en de IT-provider samenwerken om DoD-compliance te krijgen. De DoD-leverancier zal de verantwoordelijkheid voor naleving op lange termijn dragen.

Alles bij elkaar genomen, kunnen deze twee belangrijke, onjuiste veronderstellingen een enorme technische en complianceschuld veroorzaken.

Controle van de naleving van de cyberbeveiliging door de overheid is onderweg, dus de beste manier om vooruit te komen, is toezicht te houden op uw IT-provider en samen te werken om bij te dragen aan uw algehele naleving.

Aanbevolen Volgende stappen

1) Focus op uw bestaande DFARS-vereisten.

2) Neem de tijd om de aannames die ten grondslag liggen aan NIST SP 800-171 grondig te begrijpen.

3) Breng een robuust proces voor het beheer van externe leveranciers tot stand.

4) Neem de tijd om de contractuele flow down-verplichtingen grondig te begrijpen.

Voor een kort overzicht van het algemene regelgevende ecosysteem en een meer diepgaande bespreking van de onderwerpen die in dit bericht worden beschreven, kunt u het on-demand CMTC-webinar hier bekijken.


Industriële technologie

  • Productieproces
  • 3d printen
  • Automatisering Besturingssysteem
  • Industriële technologie
    1. Hoe slimme cyberbeveiligingsoplossingen steeds meer worden aangedreven door AI en ML
    2. Wat is een netwerkbeveiligingssleutel? Hoe vind je het?
    3. Hoe bedrijven in consumentenproducten hun digitale uitgaven verspillen
    4. Hoe AR en IIoT de productie transformeren
    5. Hoe COVID-19 Blockchain en Cryptocurrency beïnvloedt
    6. Hoe supply-chainmanagers best practices opnieuw evalueren
    7. Hoe toeleveringsketens de volgende pandemische golf kunnen doorstaan
    8. Hoe u milieubewuste leveranciers kiest
    9. Hoe micro-onderzoeken de naleving van de toeleveringsketen kunnen verbeteren
    10. Consumenten zijn uit op wraak. Hoe moeten retailers en leveranciers reageren?
    11. Hoe automatisering en kunstmatige intelligentie cyberbeveiliging kunnen stimuleren