협업을 통한 규정 준수:2가지 주요 사이버 보안 가정이 국방부 공급업체에 미치는 영향

제조 및 비제조 부문에 걸쳐 방위 산업 기지("DIB")에 약 300,000개의 회사가 있는 것으로 추산됩니다. DIB의 약 99%는 직원이 500명 미만인 중소기업으로 구성되어 있습니다.

2017년 12월부터 DIB의 모든 회사는 계약에 국방연방조달규정 부록("DFARS") 조항(252.204-7012 - 보호 대상 방위 정보 및 사이버 사고 보고)을 가지고 있습니다. 거의 3년이 지난 후 DIB에 잘못된 가정이 여러 개 있는 것으로 나타났습니다. 그 중 두 가지는 더 심도 있는 논의가 필요합니다...

첫 번째 가정:자체 증명 큰 문제가 아님

DoD와의 계약 조건을 수락한 결과 제조업체는 "CUI"(Controlled Unclassified Information)를 보호하기 위해 "적절한 사이버 보안"을 사용하고 있음을 자체적으로 증명합니다. 적절한 사이버 보안은 NIST 특별 간행물 800-171에 요약된 110가지 보안 요구 사항을 완전히 구현하는 것으로 DFARS 조항에 의해 정의됩니다.

많은 제조업체는 사이버 보안 프로그램이 충분하다고 가정합니다. 대부분의 CMTC 클라이언트는 일반적으로 70% - 80%가 규정을 준수한다고 추정하여 사이버 보안 계약을 시작합니다. 그러나 기본 갭 분석 후 실행 평균은 약 34%를 준수합니다.

이전 블로그 게시물에서는 사이버 보안 요구 사항을 준수하지 않는 것과 관련하여 자주 간과되는 법적 위험을 다루었습니다. 궁극적으로 회사가 국방부(DoD)와 비즈니스를 하려면 계약 조건을 수락해야 하므로 규정을 준수하는 사이버 보안 태세를 스스로 증명해야 합니다.

두 번째 가정:외부 IT 제공업체만이 답

많은 중소기업에는 전담 IT 인력과 리소스가 부족합니다. 그 결과 많은 제조업체가 타사 IT 서비스 제공업체를 활용합니다. 이러한 소규모 비즈니스를 운영하기 위해 외부 서비스 공급자는 회사 정보 시스템에 대한 막대한 관리 액세스 권한을 위임받았습니다. 종종 제조업체는 모든 것이 계획대로 진행되고 있다고 가정합니다. 제조업체는 어떤 조치가 취해지고 있는지 이해하기 위해 타사 IT 제공업체를 감독해야 합니다. 제조업체와 IT 제공업체의 사이버 여정은 제공업체 작업의 활동 및 결과에 참여하는 회사와 협력합니다.

또한 노출 측면에서 보면 110개의 보안 요구 사항 중 약 절반이 일반적으로 타사 IT 제공업체에서 제공하는 기술 운영 및 기술 솔루션과 직접적으로 관련되어 있습니다. 일부 사이버 보안 조치는 비즈니스 운영에 매우 기본적이어서 정부는 모든 DoD 공급업체가 자체 위험을 사전에 관리할 것이라고 합리적으로 가정했습니다. 제조업체와 IT 제공업체는 DoD 규정 준수를 위해 함께 협력해야 합니다. DoD 공급업체는 장기적으로 규정 준수에 대한 책임을 지게 됩니다.

이 두 가지 핵심적인 잘못된 가정을 종합하면 엄청난 기술적 부채와 규정 준수 부채가 발생할 수 있습니다.

정부 사이버 보안 규정 준수 감사가 진행 중이므로 IT 제공업체를 감독하고 협력하여 전반적인 규정 준수에 기여하는 것이 가장 좋은 방법입니다.

권장 다음 단계

1) 기존 DFARS 요구 사항에 중점을 둡니다.

2) 시간을 내어 NIST SP 800-171의 기본 가정을 철저히 이해하십시오.

3) 강력한 제3자 공급업체 관리 프로세스를 수립합니다.

4) 시간을 내어 계약상의 의무를 철저히 이해하십시오.

전체 규제 생태계에 대한 간략한 개요와 이 게시물에 설명된 주제에 대한 보다 심층적인 논의를 보려면 여기에서 주문형 CMTC 웨비나를 볼 수 있습니다.