CyberSheath的首席执行官埃里克·努南称,该报告的调查结果表明,我们的军事机密并不安全,国家安全面临着明显危机。
根据一份新报告,大多数国防承包商未能满足国防联邦采购条例补充规定的要求,这种趋势对“国家安全构成直接威胁”。
总部位于雷斯顿的安全公司 CyberSheath 在 2022 年 7 月至 2022 年 8 月期间对国防工业基地中“负有 DFARS 义务、负责网络安全并积极寻求 CMMC 合规性”的 300 人进行了调查,并于周三发布了一份评估网络安全状况的报告DIB 的成熟度。
该报告显示,绝大多数接受调查的国防承包商缺乏网络安全基础设施的关键组件:估计 73% 的承包商未能实施端点检测和响应解决方案,而 79% 的承包商缺乏全面的多因素身份验证系统。
CyberSheath 首席执行官埃里克·努南 (Eric Noonan) 在一份声明中表示:“该报告的调查结果表明,我们的国家安全面临着明显而现实的危险。” “我们的军事机密并不安全,迫切需要改善这个群体的网络安全状况,这个群体往往连最基本的网络安全要求都达不到。”
该报告发布之际,国防承包商正准备满足网络安全成熟度模型认证 (CMMC) 合规要求。新的采购法规旨在帮助保护 DIB 在一系列不断变化的威胁中维护的敏感信息和知识产权,用第三方认证取代以前的自我认证模型。
CyberSheath 是一家位于雷斯顿的托管服务提供商,提供旨在实现 CMMC 合规性的服务,例如其共享安全合规性框架,以及持续监控、事件响应和报告服务。
其报告还详细说明了绝大多数接受调查的国防承包商如何未能满足自 2017 年以来实施的许多 DFARS 要求,并且缺乏漏洞管理解决方案以及足够的安全信息和事件管理资源。根据 CyberSheath 的数据,87% 的国防承包商在供应商绩效风险系统中的得分低于 70,该系统用于跟踪承包商是否遵守 DFARS 要求。
与此同时,82% 的受访承包商表示,“理解政府有关网络安全的法规有中度到极度困难”。
国防工业协会是一个代表国防工业 1,800 多家企业成员的行业非营利组织,其官员未能立即就 CyberSheath 报告发表评论。
对承包商不遵守国防部网络安全标准的担忧是 CMMC 法规首次在 2020 财年国防授权法案中提出的原因。国防部官员后来根据公众反馈对拟议的法规进行了调整,将所需的安全级别从五个减少到三个。在国防合同实施之前,国防部目前正在完成该法规的规则制定过程。
今年早些时候,国防部启动了一项研究,以确定包括小型企业在内的公司是否能够成功实施该部门的网络安全要求。国防合同管理局的国防工业基地网络安全评估中心 (DIBCAC) 正在领导这项研究,因为承包商正在等待开始遵守 CMMC 的最后期限,预计将于 2023 财年到达。
