زنجیره تامین پنتاگون در حال شکست اقدامات اساسی امنیت ملی است
زنجیره تامین پنتاگون در حال شکست اقدامات اساسی امنیت ملی است
اکثر پیمانکارانی که در پنج سال گذشته توسط وزارت دفاع استخدام شدهاند، نتوانستهاند حداقل استانداردهای امنیت سایبری مورد نیاز را برآورده کنند و این امر امنیت ملی ایالات متحده را به خطر میاندازد.
شرکت خدمات مدیریت شده CyberSheath در 30 نوامبر گزارشی را منتشر کرد که نشان میدهد 87 درصد از زنجیره تامین پنتاگون از حداقل امنیت سایبری اولیه برخوردار نیست. این آسیب پذیری ها پیمانکاران اصلی دفاعی و پیمانکاران فرعی آنها را در معرض حملات سایبری طیفی از بازیگران قرار می دهد که امنیت ملی ایالات متحده را تهدید می کند.
این خطرات برای مدتی بدون تلاش برای رفع آنها شناخته شده اند. به گزارش CyberSheath، این مطالعه مستقل پایگاه صنعتی دفاعی (DIB) اولین مطالعه ای است که نشان می دهد پیمانکاران فدرال به درستی از اسرار نظامی محافظت نمی کنند.
DIB یک زنجیره تامین پیچیده است که از 300000 پیمانکار اصلی و پیمانکار فرعی تشکیل شده است. دولت به این شرکتهای تایید شده اجازه میدهد تا فایلهای حساس را به اشتراک بگذارند و به طور ایمن برای انجام تجارت ارتباط برقرار کنند.
پیمانکاران دفاعی به زودی ملزم خواهند شد برای ایمن نگه داشتن این اسرار، مطابق با گواهینامه مدل بلوغ امنیت سایبری (CMMC) باشند. در همین حال، این گزارش هشدار می دهد که هکرهای دولت-ملت به طور فعال و مشخص این پیمانکاران را با کمپین های پیچیده حملات سایبری هدف قرار می دهند.
اریک نونان، مدیرعامل CyberSheath، به TechNewsWorld گفت: «اعطای قرارداد به پیمانکاران فدرال بدون تأیید کنترلهای امنیت سایبری آنها یک شکست کامل بود.
بیش از پنج سال است که پیمانکاران دفاعی موظف به رعایت الزامات انطباق با امنیت سایبری هستند. وی افزود که این شرایط جزء لاینفک بیش از یک میلیون قرارداد است.
جزئیات جدی
گزارش تحقیقاتی مریل در سال 2022 که توسط CyberSheath انجام شد، نشان داد که 87٪ از پیمانکاران فدرال امتیاز کمتر از 70 در سیستم ریسک عملکرد تامین کننده (SPRS) دارند. این اندازه گیری نشان می دهد که پیمانکار تا چه اندازه الزامات الحاقیه DFARS را برآورده کرده است.
DFARS از سال 2017 قانون شده است و برای انطباق کامل به امتیاز 110 نیاز دارد. منتقدان رژیم به طور حکایتی 70 سال را “به اندازه کافی خوب” می دانستند. با این حال، اکثریت قریب به اتفاق پیمانکاران هنوز بیکار هستند.
اریک نونان گفت: «یافتههای این گزارش یک تهدید آشکار و فعلی را برای امنیت ملی ما نشان میدهد. ما اغلب در مورد خطرات آسیب پذیر بودن زنجیره های تامین در برابر حملات سایبری می شنویم.
و ادامه داد: بانک اسلامی دبی زنجیره تامین پنتاگون است و می بینیم که پیمانکاران با وجود قرار گرفتن در تیررس تهدیدها چقدر ناآماده هستند.
نونان هشدار داد: اسرار نظامی ما امن نیست و نیاز فوری به بهبود وضعیت امنیت سایبری برای این گروه وجود دارد که اغلب حتی ابتداییترین الزامات امنیت سایبری را برآورده نمیکند.
یافته های گزارش بیشتر
داده های نظرسنجی از 300 پیمانکار از وزارت دفاع ایالات متحده، با دقت در سطح اطمینان 95٪ آزمایش شده است. این مطالعه در ژوئیه تا آگوست 2022 با CMMC 2.0 در افق تکمیل شد.
تقریباً 80 درصد از کاربران DIB قادر به نظارت شبانه روزی بر سیستم های رایانه ای خود نیستند و فاقد خدمات نظارتی امنیتی در ایالات متحده هستند. سایر کاستیها در دستههای زیر ظاهر شدند که برای دستیابی به انطباق با CMMC لازم است:
- 80 درصد فاقد راه حل مدیریت آسیب پذیری هستند
- 79 درصد فاقد سیستم جامع احراز هویت چند عاملی (MFA) هستند
- 73 درصد فاقد محلول تشخیص نقطه پایانی و پاسخ (EDR) هستند
- 70 درصد اطلاعات امنیتی و مدیریت رویداد (SIEM) را منتشر نکرده اند.
این کنترل های امنیتی از نظر قانونی توسط بانک اسلامی دبی مورد نیاز است و از آنجایی که آنها رعایت نمی شوند، خطر قابل توجهی پیش روی وزارت دفاع و توانایی آن برای انجام یک دفاع مسلحانه وجود دارد. 82 درصد از پیمانکاران، علاوه بر عدم انطباق بسیار زیاد، «درک مقررات دولتی مرتبط با امنیت سایبری را بسیار دشوار می دانند».
سردرگمی بین پیمانکاران بیداد می کند
بر اساس این گزارش، برخی از پیمانکاران دفاعی از طریق DIB تنها بر روی امنیت سایبری تمرکز کرده اند تا با موانعی مانع شوند.
هنگامی که از آنها خواسته شد که چالش های گزارش DFARS را در مقیاس 1 تا 10 ارزیابی کنند (که 10 بسیار چالش برانگیز است)، حدود 60٪ از همه پاسخ دهندگان “الزامات درک” را در 7 از 10 یا بالاتر ارزیابی کردند. در فهرست چالشها، مستندسازی و گزارشدهی معمول بود.
موانع اصلی چالشهای پیمانکاران عبارتند از درک مراحل مورد نیاز برای دستیابی به انطباق، دشواری اجرای سیاستها و رویههای CMMC پایدار و هزینه کلی مربوطه.
نونان اعتراف کرد که متأسفانه، این نتایج به موازات آن چیزی است که CyberSheath انتظار داشت. وی خاطرنشان کرد که این تحقیق تایید می کند که حتی اقدامات اساسی امنیت سایبری مانند احراز هویت چند عاملی تا حد زیادی نادیده گرفته شده است.
نونان گفت: «این تحقیق، همراه با پرونده ادعاهای دروغین علیه غول دفاعی Aerojet Rocketdyne، نشان میدهد که هم پیمانکاران دفاعی بزرگ و هم کوچک به تعهدات قراردادی امنیت سایبری عمل نمیکنند و وزارت دفاع در سراسر زنجیره تأمین خود دارای خطرات سیستماتیک است.»
تعجب بزرگی نیست
نونان معتقد است که وزارت دفاع مدت هاست می داند که صنعت دفاعی به امنیت سایبری نمی پردازد. گزارشهای خبری از سوء استفادههای به ظاهر بیپایان دولتهای ملی توسط پیمانکاران دفاعی، از جمله حوادث در مقیاس بزرگ مانند SolarWinds و پروندههای قانون ادعاهای نادرست، این موضوع را ثابت میکند.
من همچنین فکر می کنم که وزارت دفاع پس از سال ها مهلت دادن به پیمانکاران برای رسیدگی به این مشکل، صبرش تمام شده است. نونان گفت: «تنها در حال حاضر وزارت دفاع امنیت سایبری را به عنوان ستون خرید قرارداد تبدیل خواهد کرد.
او خاطرنشان کرد که دکترین جدید وزارت دفاع آمریکا “بدون امنیت سایبری، بدون قرارداد” خواهد بود.
نونان اذعان داشت: برخی از مشکلاتی که پیمانکاران در خصوص مشکلات درک و برآوردن الزامات الکترونیکی بیان کرده اند، شایستگی دارد.
این یک نکته منصفانه است زیرا برخی از پیام های دولت متناقض بوده است. اما در واقعیت، الزامات از حدود سال 2017 تغییر نکرده است.”
چه خبر بعدی
شاید وزارت دفاع سیاست سخت گیرانه تری را با پیمانکاران در پیش بگیرد. اگر پیمانکاران در سال 2017 از آنچه قانون خواسته بود پیروی می کردند، امروز کل زنجیره تامین در مکان بسیار بهتری قرار می گرفت. نونان افزود که علیرغم برخی چالشهای ارتباطی، وزارت دفاع در مورد آنچه برای امنیت سایبری پیمانکاران دفاعی لازم است، بهطور باورنکردنی سازگار بوده است.
تحقیقات کنونی اکنون بالای کوهی از شواهد است که نشان میدهد پیمانکاران فدرال کارهای زیادی برای بهبود امنیت سایبری دارند. بدیهی است که کار بدون اجبار از سوی دولت فدرال انجام نخواهد شد.
او گفت: «اعتماد بدون راستیآزمایی با شکست مواجه شد و اکنون به نظر میرسد که وزارت دفاع در حال حرکت برای اجرای راستیآزمایی است».
پاسخ وزارت دفاع هنوز در انتظار است
TechNewsWorld در مورد انتقادات زنجیره تامین از گزارش CyberSheath سوالات کتبی به وزارت دفاع ارسال کرد. سخنگوی CIO CYBER/IT/DOD وزارت دفاع پاسخ داد و خاطرنشان کرد که بررسی این موارد چند روز طول می کشد. با هر پاسخی که دریافت کنیم، این داستان را به روز خواهیم کرد.