Applications
تکنولوژی

زنجیره تامین پنتاگون در حال شکست اقدامات اساسی امنیت ملی است

تصویر از مدیریت مدیریت ارسال به ایمیل دسامبر 10, 2022
45 زمان تقریبی مطالعه 5 دقیقه

زنجیره تامین پنتاگون در حال شکست اقدامات اساسی امنیت ملی است

اکثر پیمانکارانی که در پنج سال گذشته توسط وزارت دفاع استخدام شده‌اند، نتوانسته‌اند حداقل استانداردهای امنیت سایبری مورد نیاز را برآورده کنند و این امر امنیت ملی ایالات متحده را به خطر می‌اندازد.

شرکت خدمات مدیریت شده CyberSheath در 30 نوامبر گزارشی را منتشر کرد که نشان می‌دهد 87 درصد از زنجیره تامین پنتاگون از حداقل امنیت سایبری اولیه برخوردار نیست. این آسیب پذیری ها پیمانکاران اصلی دفاعی و پیمانکاران فرعی آنها را در معرض حملات سایبری طیفی از بازیگران قرار می دهد که امنیت ملی ایالات متحده را تهدید می کند.

این خطرات برای مدتی بدون تلاش برای رفع آنها شناخته شده اند. به گزارش CyberSheath، این مطالعه مستقل پایگاه صنعتی دفاعی (DIB) اولین مطالعه ای است که نشان می دهد پیمانکاران فدرال به درستی از اسرار نظامی محافظت نمی کنند.

DIB یک زنجیره تامین پیچیده است که از 300000 پیمانکار اصلی و پیمانکار فرعی تشکیل شده است. دولت به این شرکت‌های تایید شده اجازه می‌دهد تا فایل‌های حساس را به اشتراک بگذارند و به طور ایمن برای انجام تجارت ارتباط برقرار کنند.

پیمانکاران دفاعی به زودی ملزم خواهند شد برای ایمن نگه داشتن این اسرار، مطابق با گواهینامه مدل بلوغ امنیت سایبری (CMMC) باشند. در همین حال، این گزارش هشدار می دهد که هکرهای دولت-ملت به طور فعال و مشخص این پیمانکاران را با کمپین های پیچیده حملات سایبری هدف قرار می دهند.

اریک نونان، مدیرعامل CyberSheath، به TechNewsWorld گفت: «اعطای قرارداد به پیمانکاران فدرال بدون تأیید کنترل‌های امنیت سایبری آنها یک شکست کامل بود.

بیش از پنج سال است که پیمانکاران دفاعی موظف به رعایت الزامات انطباق با امنیت سایبری هستند. وی افزود که این شرایط جزء لاینفک بیش از یک میلیون قرارداد است.

جزئیات جدی

گزارش تحقیقاتی مریل در سال 2022 که توسط CyberSheath انجام شد، نشان داد که 87٪ از پیمانکاران فدرال امتیاز کمتر از 70 در سیستم ریسک عملکرد تامین کننده (SPRS) دارند. این اندازه گیری نشان می دهد که پیمانکار تا چه اندازه الزامات الحاقیه DFARS را برآورده کرده است.

DFARS از سال 2017 قانون شده است و برای انطباق کامل به امتیاز 110 نیاز دارد. منتقدان رژیم به طور حکایتی 70 سال را “به اندازه کافی خوب” می دانستند. با این حال، اکثریت قریب به اتفاق پیمانکاران هنوز بیکار هستند.

اریک نونان گفت: «یافته‌های این گزارش یک تهدید آشکار و فعلی را برای امنیت ملی ما نشان می‌دهد. ما اغلب در مورد خطرات آسیب پذیر بودن زنجیره های تامین در برابر حملات سایبری می شنویم.

و ادامه داد: بانک اسلامی دبی زنجیره تامین پنتاگون است و می بینیم که پیمانکاران با وجود قرار گرفتن در تیررس تهدیدها چقدر ناآماده هستند.

نونان هشدار داد: اسرار نظامی ما امن نیست و نیاز فوری به بهبود وضعیت امنیت سایبری برای این گروه وجود دارد که اغلب حتی ابتدایی‌ترین الزامات امنیت سایبری را برآورده نمی‌کند.

یافته های گزارش بیشتر

داده های نظرسنجی از 300 پیمانکار از وزارت دفاع ایالات متحده، با دقت در سطح اطمینان 95٪ آزمایش شده است. این مطالعه در ژوئیه تا آگوست 2022 با CMMC 2.0 در افق تکمیل شد.

تقریباً 80 درصد از کاربران DIB قادر به نظارت شبانه روزی بر سیستم های رایانه ای خود نیستند و فاقد خدمات نظارتی امنیتی در ایالات متحده هستند. سایر کاستی‌ها در دسته‌های زیر ظاهر شدند که برای دستیابی به انطباق با CMMC لازم است:

  • 80 درصد فاقد راه حل مدیریت آسیب پذیری هستند
  • 79 درصد فاقد سیستم جامع احراز هویت چند عاملی (MFA) هستند
  • 73 درصد فاقد محلول تشخیص نقطه پایانی و پاسخ (EDR) هستند
  • 70 درصد اطلاعات امنیتی و مدیریت رویداد (SIEM) را منتشر نکرده اند.

این کنترل های امنیتی از نظر قانونی توسط بانک اسلامی دبی مورد نیاز است و از آنجایی که آنها رعایت نمی شوند، خطر قابل توجهی پیش روی وزارت دفاع و توانایی آن برای انجام یک دفاع مسلحانه وجود دارد. 82 درصد از پیمانکاران، علاوه بر عدم انطباق بسیار زیاد، «درک مقررات دولتی مرتبط با امنیت سایبری را بسیار دشوار می دانند».

سردرگمی بین پیمانکاران بیداد می کند

بر اساس این گزارش، برخی از پیمانکاران دفاعی از طریق DIB تنها بر روی امنیت سایبری تمرکز کرده اند تا با موانعی مانع شوند.

هنگامی که از آنها خواسته شد که چالش های گزارش DFARS را در مقیاس 1 تا 10 ارزیابی کنند (که 10 بسیار چالش برانگیز است)، حدود 60٪ از همه پاسخ دهندگان “الزامات درک” را در 7 از 10 یا بالاتر ارزیابی کردند. در فهرست چالش‌ها، مستندسازی و گزارش‌دهی معمول بود.

موانع اصلی چالش‌های پیمانکاران عبارتند از درک مراحل مورد نیاز برای دستیابی به انطباق، دشواری اجرای سیاست‌ها و رویه‌های CMMC پایدار و هزینه کلی مربوطه.

نونان اعتراف کرد که متأسفانه، این نتایج به موازات آن چیزی است که CyberSheath انتظار داشت. وی خاطرنشان کرد که این تحقیق تایید می کند که حتی اقدامات اساسی امنیت سایبری مانند احراز هویت چند عاملی تا حد زیادی نادیده گرفته شده است.

نونان گفت: «این تحقیق، همراه با پرونده ادعاهای دروغین علیه غول دفاعی Aerojet Rocketdyne، نشان می‌دهد که هم پیمانکاران دفاعی بزرگ و هم کوچک به تعهدات قراردادی امنیت سایبری عمل نمی‌کنند و وزارت دفاع در سراسر زنجیره تأمین خود دارای خطرات سیستماتیک است.»

تعجب بزرگی نیست

نونان معتقد است که وزارت دفاع مدت هاست می داند که صنعت دفاعی به امنیت سایبری نمی پردازد. گزارش‌های خبری از سوء استفاده‌های به ظاهر بی‌پایان دولت‌های ملی توسط پیمانکاران دفاعی، از جمله حوادث در مقیاس بزرگ مانند SolarWinds و پرونده‌های قانون ادعاهای نادرست، این موضوع را ثابت می‌کند.

من همچنین فکر می کنم که وزارت دفاع پس از سال ها مهلت دادن به پیمانکاران برای رسیدگی به این مشکل، صبرش تمام شده است. نونان گفت: «تنها در حال حاضر وزارت دفاع امنیت سایبری را به عنوان ستون خرید قرارداد تبدیل خواهد کرد.

او خاطرنشان کرد که دکترین جدید وزارت دفاع آمریکا “بدون امنیت سایبری، بدون قرارداد” خواهد بود.

نونان اذعان داشت: برخی از مشکلاتی که پیمانکاران در خصوص مشکلات درک و برآوردن الزامات الکترونیکی بیان کرده اند، شایستگی دارد.

این یک نکته منصفانه است زیرا برخی از پیام های دولت متناقض بوده است. اما در واقعیت، الزامات از حدود سال 2017 تغییر نکرده است.”

چه خبر بعدی

شاید وزارت دفاع سیاست سخت گیرانه تری را با پیمانکاران در پیش بگیرد. اگر پیمانکاران در سال 2017 از آنچه قانون خواسته بود پیروی می کردند، امروز کل زنجیره تامین در مکان بسیار بهتری قرار می گرفت. نونان افزود که علیرغم برخی چالش‌های ارتباطی، وزارت دفاع در مورد آنچه برای امنیت سایبری پیمانکاران دفاعی لازم است، به‌طور باورنکردنی سازگار بوده است.

تحقیقات کنونی اکنون بالای کوهی از شواهد است که نشان می‌دهد پیمانکاران فدرال کارهای زیادی برای بهبود امنیت سایبری دارند. بدیهی است که کار بدون اجبار از سوی دولت فدرال انجام نخواهد شد.

او گفت: «اعتماد بدون راستی‌آزمایی با شکست مواجه شد و اکنون به نظر می‌رسد که وزارت دفاع در حال حرکت برای اجرای راستی‌آزمایی است».

پاسخ وزارت دفاع هنوز در انتظار است

TechNewsWorld در مورد انتقادات زنجیره تامین از گزارش CyberSheath سوالات کتبی به وزارت دفاع ارسال کرد. سخنگوی CIO CYBER/IT/DOD وزارت دفاع پاسخ داد و خاطرنشان کرد که بررسی این موارد چند روز طول می کشد. با هر پاسخی که دریافت کنیم، این داستان را به روز خواهیم کرد.

تصویر از مدیریت مدیریت ارسال به ایمیل دسامبر 10, 2022
45 زمان تقریبی مطالعه 5 دقیقه
مشاهده بیشتر

نوشته های مشابه

Winees L1 2K solar-powered security camera

دوربین امنیتی خورشیدی Waynes L1 2K

جولای 20, 2023
young man on a videoconference

کلاهبردارانی که خود را به عنوان شرکت های علوم زیستی معرفی می کنند، دانشجویان جویای کار را هدف قرار می دهند

جولای 19, 2023
courtroom legal scales of justice

مشکل شکایت از شرکت های هوش مصنوعی عمومی به دلیل نقض حق چاپ

جولای 17, 2023
Alienware m18 gaming laptop

مناسب برای گیمرها و کارفرمایان

جولای 14, 2023
نظر خود را وارد کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا