5 Perguntas frequentes entre os fabricantes sobre os requisitos de segurança cibernética do governo

Este artigo foi publicado originalmente no Industry Today. Postagem de blog convidada por Jennifer Kurtz, diretora do programa Cyber ​​no Manufacturer’s Edge, um NIST MEP Center no Colorado e um representante da MEP National Network ^TM .



De acordo com o Departamento de Segurança Interna dos EUA, a manufatura é o segundo setor mais visado com base no número de ataques cibernéticos relatados. Além disso, os cibercriminosos veem pequeno e médio porte fabricantes (SMMs) como alvos principais porque muitas dessas empresas não têm medidas preventivas adequadas em vigor.

Para o Departamento de Defesa (DoD), contratados e subcontratados, o business as usual não existe mais. O governo federal, que depende cada vez mais de prestadores de serviços externos para conduzir seus negócios, aumentou a aposta quando se trata de proteger as informações não confidenciais controladas (CUI) em sistemas e organizações de informação não federais. Em 31 de dezembro de 2017, todos os contratados do governo federal foram obrigados a cumprir os requisitos mínimos de segurança cibernética do Complemento de Aquisição de Defesa (DFARS) ou correriam o risco de perder seus contratos. Apesar do prazo vencido, muitos SMMs não têm conhecimento e recursos para atualizar seus sistemas e não sabem como atender a esses 110 novos requisitos de segurança. De nota importante, o Regulamento de Aquisição Federal, que se aplica a empreiteiros do governo que trabalham em nome da Administração de Serviços Gerais (GSA) e da Administração Nacional de Aeronáutica e Espaço (NASA), em breve incluirá requisitos de segurança cibernética semelhantes.

A Rede Nacional MEP, uma parceria público-privada que oferece soluções abrangentes e comprovadas para fabricantes dos EUA, tem fornecido ativamente conscientização e assistência para ajudar os fabricantes dos EUA a proteger seus ativos de informação contra os riscos de ataques cibernéticos. A organização e seus parceiros também servem como um recurso nacional para fabricantes norte-americanos que buscam implementar segurança adequada para proteger as Informações Não Classificadas Controladas armazenadas, processadas e transmitidas.

A seguir estão cinco das perguntas mais frequentes que ouço de SMMs sobre as diretrizes de segurança DFARS do governo federal.

P:O que são informações não classificadas controladas (CUI) e como sei se estou lidando com esse tipo de informação como parte do meu contrato?

R:As informações não classificadas controladas (CUI) são dados propriedade do governo. É uma informação que o governo deseja manter em segurança, mas não é vital para a segurança nacional. A cláusula DFARS 252.204.7012 pode aparecer em seu contrato, mas só é promulgada se você processar, armazenar ou transmitir CUI. CUI pode incluir:dados de pesquisa e engenharia, desenhos de engenharia, especificações, manuais, relatórios técnicos, estudos e análises e código executável e código-fonte de software de computador. CUI terá instruções especiais de marcação e manuseio, como FOUO (somente para uso oficial). Para obter mais informações sobre as marcações CUI, consulte o registro CUI.

P:A conformidade com DFARS é exigida por lei?

R:Qualquer contratado ou subcontratado que tenha uma cláusula DFARS em seu contrato é legalmente obrigado a cumpri-la. Se você alegar falsamente estar em conformidade, corre o risco de perder seu contrato com o governo e todos os ganhos associados e provavelmente não será elegível para futuros contratos com o governo.

P:Tenho uma pequena empresa e meus contratos com o governo são de pequena escala. A conformidade com DFARS se aplica a mim?

R:Independentemente do tamanho da sua empresa ou do seu contrato, se você for um contratante ou subcontratado do governo federal que processa, armazena ou transmite CUI, você deve cumprir. Os cibercriminosos têm como alvo empresas menores, uma vez que normalmente têm menos medidas de segurança em vigor. Pode ser mais fácil penetrar empresas em níveis inferiores da cadeia de abastecimento do que tentar invadir as redes de seu alvo principal. Um ataque à cadeia de suprimentos pode ser uma rota mais fácil para controlar informações governamentais não confidenciais do que tentar acessar as redes governamentais diretamente.

P:Como posso saber se minha empresa é atualmente compatível com DFARS?

R:Consulte o Manual do NIST 162. Este manual fornece um guia passo a passo para avaliar os sistemas de informação do fabricante em relação aos requisitos de segurança DFARS.

P:Minha organização não atende às diretrizes mínimas de DFARS, mas não sei por onde começar o processo de conformidade?

R:Implementar um plano de segurança cibernética aprovado pelo governo pode ser uma tarefa difícil. Você pode começar revisando a publicação NIST SP 800-171 que descreve os requisitos DFARS. Você também pode entrar em contato com a Rede Nacional MEP para se conectar ao seu Centro MEP local. Os centros MEP locais oferecem uma ampla gama de serviços e iniciativas gratuitas ou acessíveis para orientar os fabricantes através do processo de conformidade. Esses serviços incluem conexões com especialistas em segurança cibernética que podem desenvolver uma análise detalhada de lacunas de protocolos e procedimentos e criar um plano de ação que aborda vulnerabilidades e outros problemas de conformidade.

P:Minha empresa não é uma contratada do governo, mas gostaria de aprimorar nossos protocolos de segurança cibernética. Posso usar as diretrizes DFARS?

R:Com certeza. Os fabricantes que operam em cadeias de suprimentos comerciais devem considerar seriamente a implementação dos requisitos de segurança DFARS como um aspecto integral do gerenciamento de seus riscos organizacionais.

À medida que o setor de manufatura se torna cada vez mais digitalizado, a necessidade de entender, mitigar e responder às ameaças cibernéticas cada vez mais complexas tornou-se o custo de fazer negócios.