La mayoría de los contratistas que contrató el Departamento de Defensa en los últimos cinco años no cumplieron con los estándares mínimos de seguridad cibernética requeridos, lo que representa un riesgo significativo para la seguridad nacional de EE. UU.
El proveedor de servicios administrados CyberSheath publicó el 30 de noviembre un informe que muestra que el 87% de la cadena de suministro del Pentágono no cumple con los mínimos básicos de ciberseguridad. Esas brechas de seguridad están sometiendo a importantes contratistas principales de defensa y sus subcontratistas a ataques cibernéticos de una variedad de actores de amenazas que ponen en riesgo la seguridad nacional de los EE. UU.
Esos riesgos han sido bien conocidos durante algún tiempo sin intentos de solucionarlos. Este estudio independiente de la Base Industrial de Defensa (DIB) es el primero en mostrar que los contratistas federales no protegen adecuadamente los secretos militares, según CyberSheath.
El DIB es una cadena de suministro compleja compuesta por 300.000 principales y subcontratistas. El gobierno permite que estas empresas aprobadas compartan archivos confidenciales y se comuniquen de forma segura para realizar su trabajo.
Los contratistas de defensa pronto deberán cumplir con la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para mantener esos secretos seguros. Mientras tanto, el informe advierte que los piratas informáticos del estado-nación están apuntando activa y específicamente a estos contratistas con sofisticadas campañas de ciberataques.
“Otorgar contratos a contratistas federales sin validar primero sus controles de seguridad cibernética ha sido un completo fracaso”, dijo a TechNewsWorld Eric Noonan, director ejecutivo de CyberSheath.
Los contratistas de defensa han recibido el mandato de cumplir con los requisitos de cumplimiento de seguridad cibernética durante más de cinco años. Esas condiciones están integradas en más de un millón de contratos, agregó.
Detalles peligrosos
El Merrill Analysis Report 2022, encargado por CyberSheath, reveló que el 87 % de los contratistas federales tienen una puntuación inferior a 70 en el Sistema de Riesgo de Desempeño del Proveedor (SPRS). La métrica muestra qué tan bien un contratista cumple con los requisitos del Suplemento de Regulación de Adquisiciones Federales de Defensa (DFARS).
DFARS ha sido ley desde 2017 y requiere una puntuación de 110 para el pleno cumplimiento. Los críticos del sistema han considerado anecdóticamente que 70 es «suficientemente bueno». Aun así, la gran mayoría de los contratistas aún se quedan cortos.
“Los hallazgos del informe muestran un peligro claro y presente para nuestra seguridad nacional”, dijo Eric Noonan. “A menudo escuchamos sobre los peligros de las cadenas de suministro que son susceptibles a los ataques cibernéticos”.
El DIB es la cadena de suministro del Pentágono, y vemos cuán lamentablemente mal preparados están los contratistas a pesar de estar en la mira de los actores de amenazas, continuó.
“Nuestros secretos militares no están seguros y existe una necesidad urgente de mejorar el estado de la ciberseguridad para este grupo, que a menudo no cumple ni siquiera con los requisitos de ciberseguridad más básicos”, advirtió Noonan.
Más hallazgos del informe
Los datos de la encuesta provinieron de 300 contratistas del Departamento de Defensa de EE. UU., con una precisión probada al nivel de confianza del 95 %. El estudio se completó en julio y agosto de 2022, con CMMC 2.0 en el horizonte.
Aproximadamente el 80% de los usuarios de DIB no pudieron monitorear sus sistemas informáticos las 24 horas del día y carecían de servicios de monitoreo de seguridad basados en EE. UU. Otras deficiencias fueron evidentes en las siguientes categorías que se requerirán para lograr el cumplimiento de CMMC:
- El 80% carece de una solución de gestión de vulnerabilidades
- El 79 % carece de un sistema completo de autenticación multifactor (MFA)
- El 73 % carece de una solución de detección y respuesta de punto remaining (EDR)
- El 70% no ha implementado gestión de eventos e información de seguridad (SIEM)
Estos controles de seguridad son requeridos legalmente por el DIB y, dado que no se cumplen, existe un riesgo significativo que enfrenta el Departamento de Defensa y su capacidad para llevar a cabo una defensa armada. Además de ser en gran medida incumplidores, el 82 % de los contratistas encuentran “moderada o extremadamente difícil entender las regulaciones gubernamentales sobre seguridad cibernética.
Confusión rampante entre los contratistas
Según el informe, algunos contratistas de defensa en todo el DIB se han centrado en la seguridad cibernética solo para verse estancados por obstáculos.
Cuando se les pidió que calificaran los desafíos de informes de DFARS en una escala de uno a ten (siendo 10 extremadamente desafiante), aproximadamente el 60 % de todos los encuestados calificaron la «comprensión de los requisitos» con siete de 10 o más. También ocupaban un lugar destacado en la lista de desafíos la documentación y los informes de rutina.
Los principales obstáculos enumerados por los contratistas son los desafíos para comprender los pasos necesarios para lograr el cumplimiento, la dificultad de implementar políticas y procedimientos sostenibles de CMMC y el costo whole involucrado.
Desafortunadamente, esos resultados fueron muy similares a los que esperaba CyberSheath, admitió Noonan. Señaló que la investigación confirmó que incluso las medidas fundamentales de ciberseguridad, como la autenticación multifactor, se habían ignorado en gran medida.
“Esta investigación, combinada con el caso de la Ley de Reclamaciones Falsas contra el gigante de la defensa Aerojet Rocketdyne, muestra que tanto los contratistas de defensa grandes como los pequeños no cumplen con las obligaciones contractuales de ciberseguridad y que el Departamento de Defensa tiene un riesgo sistémico en toda su cadena de suministro”, dijo Noonan.
Sin gran sorpresa
Noonan cree que el Departamento de Defensa sabe desde hace mucho tiempo que la industria de la defensa no está abordando la seguridad cibernética. Los informes noticiosos sobre las infracciones aparentemente interminables de los estados-nación por parte de los contratistas de defensa, incluidos incidentes a gran escala como los casos de SolarWinds y False Claims Act, prueban ese punto.
“También creo que el Departamento de Defensa se ha quedado sin paciencia después de dar a los contratistas años para abordar el problema. Solo ahora el Departamento de Defensa hará de la ciberseguridad un pilar de la adquisición de contratos”, dijo Noonan.
Señaló que el nuevo principio planeado del Departamento de Defensa sería «Sin ciberseguridad, sin contrato».
Noonan admitió que algunas de las luchas que expresaron los contratistas sobre las dificultades para comprender y cumplir con los requisitos cibernéticos tienen mérito.
“Es un punto justo porque algunos de los mensajes del gobierno han sido inconsistentes. Sin embargo, en realidad, los requisitos no han cambiado desde aproximadamente 2017”, ofreció.
Que sigue
Quizás el Departamento de Defensa seguirá una política más estricta con los contratistas. Si los contratistas cumplieran con lo que exige la ley en 2017, toda la cadena de suministro estaría en un lugar mucho mejor hoy. A pesar de algunos desafíos de comunicación, el Departamento de Defensa ha sido increíblemente consistente en lo que se requiere para la seguridad cibernética del contratista de defensa, agregó Noonan.
La investigación precise ahora se encuentra sobre una montaña de evidencia que demuestra que los contratistas federales tienen mucho trabajo por hacer para mejorar la seguridad cibernética. Está claro que el trabajo no se realizará sin la aplicación del gobierno federal.
“La confianza sin verificación falló, y ahora el Departamento de Defensa parece estar actuando para hacer cumplir la verificación”, dijo.
Respuesta del Departamento de Defensa
TechNewsWorld envió preguntas por escrito al Departamento de Defensa sobre las críticas a la cadena de suministro en el informe CyberSheath. Un portavoz de CYBER/IT/DOD CIO del Departamento de Defensa respondió que tomaría algunos días profundizar en los problemas. Actualizaremos esta historia con cualquier respuesta que recibamos.
Actualización: 9 de diciembre de 2022 a las 3:20 p. m. (hora del Pacífico)
La portavoz del Departamento de Defensa y comandante de la Marina de los EE. UU., Jessica McNulty, proporcionó esta respuesta a TechNewsWorld:
CyberSheath es una empresa que ha sido evaluada por el Organismo de Acreditación Cibernética (Cyber AB) y cumplió con los requisitos para convertirse en una Organización de Profesionales Registrados, calificada para asesorar y ayudar a las empresas de Base Industrial de Defensa (DIB) con la implementación de CMMC. El Cyber AB es un 501(c)(3) que autoriza y acredita a empresas de terceros que realizan evaluaciones de empresas dentro del DIB, según la comandante de la Marina de los EE. UU. Jessica McNulty, portavoz del Departamento de Defensa.
McNulty confirmó que el Departamento de Defensa está al tanto de este informe y sus hallazgos. El Departamento de Defensa no ha tomado ninguna medida para validar los hallazgos, ni la agencia respalda este informe, dijo.
Sin embargo, el informe y sus hallazgos generalmente no son inconsistentes con otros informes anteriores (como la Auditoría de protección de información no clasificada controlada por el Departamento de Defensa en redes y sistemas propiedad de contratistas del Inspector Common del Departamento de Defensa (ref. DODIG-2019-105) o con los resultados de evaluaciones de cumplimiento realizadas por el DoD, según lo permitido/requerido por la cláusula 252.204-7020 de DFARS (cuando corresponda), señaló.
“Mantener estándares de seguridad cibernética adecuados, como los definidos por el Instituto Nacional de Estándares y Tecnología (NIST) e impuestos como requisitos contractuales a través de la aplicación de DFARS 252.204-7012, es de suma importancia para proteger la información no clasificada controlada por el Departamento de Defensa. El Departamento de Defensa ha reconocido durante mucho tiempo que se necesita un mecanismo para evaluar el grado en que los contratistas cumplen con estos estándares, en lugar de confiar en que se cumplen los estándares”, dijo McNulty a TechNewsWorld.
Por esta razón, se inició el programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) del Departamento de Defensa, y el Departamento de Defensa está trabajando para codificar sus requisitos en la parte 32 del Código de Regulaciones Federales, agregó.
“Una vez implementados, los requisitos de evaluación de CMMC se impondrán como requisitos previos a la adjudicación, cuando corresponda, para garantizar que los contratos del Departamento de Defensa se otorguen a empresas que, de hecho, cumplen con los requisitos de ciberseguridad subyacentes”, concluyó McNulty.