Prva temeljita analiza stanja kibernetičke sigurnosti američke obrambene industrijske baze (DIB) otkriva da gotovo 90 posto njezinih izvođača ne ispunjava potrebne sigurnosne standarde. Izvođači obrambenih radova posjeduju osjetljive informacije o nacionalnoj sigurnosti i stalno su na meti sofisticiranih hakerskih operacija koje vode hakeri koje sponzorira država.
Detaljnu analizu lanca opskrbe Pentagona naručio je CyberSheath, pružatelj usluga usklađenosti s pravilima kibernetičke sigurnosti, a proveo ju je Merrill Research, vodeći u pružanju prilagođenih, višemetodoloških istraživačkih usluga. Ovdje pristupite izvješću o stanju obrambene industrijske baze. U anketi je ispitano 300 izvođača DIB-a sa sjedištem u SAD-u putem online ankete u srpnju 2022.
Opskrbni lanac dotičnih odjela procijenjen je korištenjem Sustava rizika dobavljača (SPRS), koji je jedinstveni, ovlašteni sustav DoD-a za dohvaćanje informacija o sigurnosti dobavljača. Izvođači koji nemaju SPRS ocjenu od 70 ili više smatraju se neusklađenima s kriterijima Defense Federal Acquisition Regulation Supplement (DFARS). DFARS je skup propisa o kibernetičkoj sigurnosti koje Ministarstvo odbrane nameće svojim izvođačima. DFARS, koji je na snazi od 2017., zahtijeva rezultat od 110 da bi se smatrao potpuno usklađenim.
Podaci koje je predstavio Atlas VPN pokazuju da zapanjujućih 89% izvođača ima SPRS rezultat manji od 70, što znači da ne zadovoljavaju zakonski propisani minimum. Preko 25% opskrbnog lanca dobilo je SPRS rezultate između -170 i -120, dok je samo 11% ispitanih izvođača dobilo rezultat koji se smatra usklađenim. Zaključci istraživanja pokazuju jasan i prisutan rizik za nacionalnu sigurnost SAD-a. Ova se otkrića ne bi smjela lako zanemariti, s obzirom na trenutne globalne političke napetosti i stalnu baražnu ranu napada hakera koje sponzorira država. Područja neusklađenosti Otprilike 80% DIB-a ne nadzire svoje sustave 24/7/365 i ne koristi usluge sigurnosnog nadzora sa sjedištem u Sjedinjenim Državama. Korištenje stranih kibersigurnosnih usluga samo po sebi nosi rizik.
Ostali nedostaci otkriveni su u sljedećim područjima:
• 80% nema sustav za upravljanje ranjivostima.
• 79% nema ugrađen sustav robusne višefaktorske provjere autentičnosti (MFA), a 73% nema rješenje za otkrivanje krajnje točke i odgovor (EDR).
• 70% organizacija nije implementiralo upravljanje sigurnosnim informacijama i događajima (SIEM)
Ove sigurnosne mjere zakonski zahtijeva DIB, a ako se one ne ispune, DoD i njegova sposobnost poduzimanja oružane obrane suočavaju se s velikom opasnošću.