As mãos do governo federal estão mais do que ocupadas na monitorização de múltiplas guerras no exterior e de um ciclo eleitoral que se aproxima. No meio destes conflitos urgentes, os líderes dos Cinco Olhos sentaram-se recentemente para uma entrevista sem precedentes com 60 Minutos, chamando a República Popular da China de “a ameaça definidora desta geração”.
A primeira aparição pública da aliança de inteligência de língua inglesa da América, num momento de grande agitação no estrangeiro, diz muito sobre a importância de proteger informações sensíveis no ciberespaço.
Nos últimos meses, agências dos EUA foram violados por hackers chineses que roubaram 60,000 e-mails do Departamento de Estado em seu transporte de dados, e sabemos inteligência de defesa é direcionada, também. Em muitos casos, as empresas que detêm tais informações não estão conscientes do seu próprio papel na segurança nacional.
Há quase uma década, o Departamento de Defesa (DoD) implementou uma estrutura de segurança, o Suplemento de Regulamentação de Aquisição Federal de Defesa (DFARS), para salvaguardar a propriedade intelectual da nossa nação. Apesar da sua inclusão em mais de 1 milhão de contratos, o DFARS permaneceu em grande parte não aplicado.
Até agora.
O DoD está acompanhando o lançamento em novembro da regra proposta sobre Certificação do Modelo de Maturidade de Segurança Cibernética (CMMC) 2.0, que inclui um mecanismo de aplicação crucial para manter a base industrial de defesa honesta na proteção de informações confidenciais.
A exigência de controles de segurança, como autenticação multifatorial, monitoramento de rede e relatórios de incidentes, está há muito incorporada na maioria dos contratos governamentais com o DoD, mas os contratantes foram autorizados a autocertificar que implementaram os controles necessários. O sistema até agora tem sido de confiança, mas nunca verificado.
Microsoft diz As ameaças dos Estados-nação estão a aumentar — especialmente da Rússia, da China, do Irão e da Coreia do Norte — e os intervenientes nas ameaças estão a aumentar. recorrendo a novos vetores como a plataforma social Discord para atingir infra-estruturas críticas.
Com bem mais de 300,000 prestadores de serviços na base industrial de defesa, os hackers têm uma tremenda oportunidade de roubar segredos militares. Forçar os contratantes de defesa a cumprir os mínimos obrigatórios de segurança cibernética deverá limitar significativamente esse risco, mas os contratantes têm um longo caminho a percorrer para alcançar a conformidade com o que muitos consideram a higiene básica da cibersegurança.
A estudo conduzido pela Merrill Research descobriu que apenas 36% dos empreiteiros apresentaram pontuações de conformidade exigidas, uma queda de 10 pontos percentuais em relação ao relatório inaugural do ano passado. Entre aqueles que fez enviar pontuações, a média foi lamentável -15 – bem abaixo da pontuação de 110 que representa conformidade total.
O estudo também mostrou que os empreiteiros escolhem quais áreas de conformidade desejam aderir. Apenas 19% dos entrevistados implementaram soluções de gerenciamento de vulnerabilidades e 25% possuem soluções seguras de backup de TI, ambos elementos básicos da segurança cibernética. Quarenta por cento vão além do que a lei exige e negam explicitamente o uso da Huawei, que a Comissão Federal de Comunicações designado como um risco à segurança nacional.
Esta seletividade mostra que os empreiteiros compreendem o risco, mas nem sempre o abordam, provavelmente porque nunca houve qualquer possibilidade de serem auditados quanto à conformidade. Seria equivocado acreditar que o governo está a impor unilateralmente novas regras aos empreiteiros da defesa. Na verdade, o CMMC 2.0 é o culminar de uma parceria público-privada contínua que já dura uma década.
Aplicação do CMMC 2.0
A indústria esteve o tempo todo sentada à mesa. Agora, precisa finalmente de fazer o trabalho de casa de que se ouve falar há anos e implementar controlos de segurança para que possamos fazer progressos significativos na proteção dos segredos da nossa nação.
Esperamos que os titãs da tecnologia, incluindo a Microsoft e o Google, levem a segurança a sério, e devemos manter os mesmos padrões dos empreiteiros de defesa encarregados da nossa segurança nacional.
A aplicação do CMMC 2.0 protege informações confidenciais de defesa e ativos de segurança nacional que estão em perigo há muito tempo. A China e outros adversários exploram agressivamente quaisquer vulnerabilidades que possam encontrar. Agora que o DoD definiu uma data efectiva para as normas de conformidade, chegou o momento de os empreiteiros de defesa adoptarem os requisitos que há muito estão incorporados nos seus contratos existentes e implementarem integralmente as normas mínimas obrigatórias de segurança cibernética.
A manutenção da superioridade tecnológica e dos segredos militares americanos depende de as empresas de toda a base industrial de defesa abraçarem o seu compromisso com a segurança cibernética. Ao abraçar a visão de parceria público-privada por trás do CMMC 2.0 e obter a certificação, os empreiteiros podem validar-se como administradores da segurança da nação.
Eric Noonan é fundador e CEO da CyberSheath, fornecedora de serviços gerenciados de segurança para empresas e governos.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.defensenews.com/opinion/2023/11/03/the-us-just-got-serious-about-cybersecurity-contractors-arent-ready/