EUA: Empreiteiros federais de defesa não estão protegendo adequadamente os segredos militares

Os hackers de estado-nação estão ativa e especificamente visando esses contratados com campanhas sofisticadas de ataque cibernético.

Surpreendentes 87% dos contratados têm uma pontuação abaixo de 70 do Sistema de Risco de Desempenho do Fornecedor (SPRS), a métrica que mostra o quão bem um contratado atende aos requisitos do Suplemento de Regulamento de Aquisição Federal de Defesa (DFARS).

O DFARS , que é lei desde 2017, exige uma pontuação de 110 para cumprimento total. Os críticos do sistema consideraram 70 como “bom o suficiente”, mas a esmagadora maioria dos empreiteiros ainda não conseguiu.

Um estudo sobre a maturidade da segurança cibernética do DIB foi conduzido pela Merrill Research e encomendado pela CyberSheath. Os dados da pesquisa de 300 contratados do Departamento de Defesa (DoD) dos EUA foram testados com um nível de confiança de 95%, o que significa que há uma probabilidade de 95% de que diferenças significativas sejam reais e não devidas a erros de amostragem.

“As descobertas do relatório mostram um perigo claro e presente para nossa segurança nacional”, disse Eric Noonan , CEO da CyberSheath . “Muitas vezes ouvimos sobre os perigos das cadeias de suprimentos que são suscetíveis a ataques cibernéticos. O DIB é a cadeia de suprimentos do Pentágono, e vemos como os empreiteiros estão lamentavelmente despreparados, apesar de estarem na mira dos agentes de ameaças. Nossos segredos militares não estão seguros e há uma necessidade urgente de melhorar o estado da segurança cibernética para esse grupo, que muitas vezes não atende nem mesmo aos requisitos mais básicos de segurança cibernética.”

Cerca de 80% do DIB não monitora seus sistemas 24 horas por dia, 7 dias por semana, 365 dias por ano e não usa serviços de monitoramento de segurança baseados nos Estados Unidos. Outras deficiências foram evidentes nas seguintes categorias que serão necessárias para alcançar a conformidade CMMC:

• 80% carecem de uma solução de gerenciamento de vulnerabilidade
• 79% carecem de um sistema abrangente de autenticação multifator (MFA)
• 73% carecem de uma solução de detecção e resposta de endpoint (EDR)
• 70% não implantaram informações de segurança e gerenciamento de eventos (SIEM)

Esses controles de segurança são legalmente exigidos do DIB e, como não são cumpridos, há um risco significativo para o DoD e sua capacidade de conduzir defesa armada. Além de não estarem em conformidade, surpreendentes 82% dos contratados acham “moderadamente a extremamente difícil entender os regulamentos governamentais sobre segurança cibernética”.

Fonte: https://www.helpnetsecurity.com/