Tyler Kruis
Gepubliceerd op: 25 januari 2024
Uit een nieuwe memo van het Ministerie van Defensie (DoD) blijkt dat ze de beveiligingseisen voor cloudproviders op FedRAMP-niveau aanscherpen.
Historisch gezien was het onduidelijk wat FedRAMP-certificering inhield en wat dit inhield. Vóór de nieuwe regels stelde de DFARS-clausule dat een externe contractant ervoor moet zorgen dat zijn cloudserviceproviders voldoen aan de FedRAMP-vereisten.
Destijds betekenden deze vereisten eenvoudigweg dat de dienstverleners de regels moesten volgen voor het bewaren van gegevens, incidentrapporten en toegangsvereisten.
Hoewel dat nog steeds een belangrijke stap is, is het er niet in geslaagd een basisniveau te creëren voor de beveiligingsvereisten die cloudserviceproviders moeten nemen. Na wijziging van de DFARS-clausule is dit probleem echter weggenomen.
Om FedRAMP-goedgekeurd te zijn, is een minimum aan cyberbeveiligingsverdediging vereist. FedRAMP maakt gebruik van een extern bedrijf om te beoordelen of providers aan de gegeven criteria voldoen.
“Om als FedRAMP Moderate-equivalent te worden beschouwd, moeten CSO's 100% behalen met de nieuwste FedRAMP gematigde beveiligingscontrolebasislijn door middel van een beoordeling uitgevoerd door een FedRAMP-erkende Third-Party Assessment Organization (3PAO)”, luidt de memo.
Daarmee ligt de bal als het ware in de handen van de clouddienstverleners. Als ze met het Ministerie van Defensie willen blijven samenwerken, moeten ze hun cyberbeveiliging op scherp zetten. Bedrijven die sluiproutes nemen met hun cyberbeveiligingspraktijken zullen de activiteiten van het Ministerie van Defensie verliezen.
Het is niet helemaal bekend wat de reden is dat het DoD zijn veiligheidsregels heeft aangescherpt, maar er zijn een paar gissingen. Datalekken en hacks bij cloudserviceproviders zijn in de loop der jaren sterk toegenomen, vooral nu de opkomst van AI dit eenvoudiger dan ooit heeft gemaakt. Als een hacker gegevens van de dienstverlener kan bemachtigen, kan hij of zij de gegevens bemachtigen van iedere opdrachtnemer waarmee hij samenwerkt.
Als reactie daarop hebben Amerikaanse overheidsinstanties samengewerkt om ervoor te zorgen dat bedrijven de richtlijnen voor minimale veiligheidseisen volgen.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.safetydetectives.com/news/department-of-defense-tightens-rules-on-cloud-security/
