En los últimos meses, el Departamento de Defensa de Estados Unidos ha emitido una serie de nuevos memorandos para reforzar sus estándares de seguridad cibernética para los contratistas que estén interesados en hacer negocios con el Pentágono.
Según un estudio del Departamento de Defensa, tanto los contratistas pequeños como los grandes están luchando para cumplir con las reglas de seguridad de red actualizadas del Pentágono.
Kevin Fahey, secretario asistente de defensa para adquisiciones, dijo a los periodistas el lunes que a pesar de que «en su mayor parte, a las grandes compañías les va muy bien, en ningún caso cumplen con todo lo que creían haber conocido».
Parte del problema se relaciona con el hecho de que después de que las grandes empresas tienden a proporcionar a sus subcontratistas más pequeños muchos datos que no necesitan, esta información se vuelve vulnerable a los piratas informáticos extranjeros.
Fahey también dijo que «la mayor parte de nuestro entrenamiento y el problema es que nuestros adversarios no intentan entrar a través de las grandes compañías» y que generalmente «entran en el quinto, sexto nivel».
«Si está transmitiendo información que no necesitan, entonces eso es malo. Ahí es donde vemos nuestro mayor problema «, señaló.
Fahey explicó que, a diferencia de años anteriores, cuando el Pentágono hizo la vista gorda ante la autocertificación de los contratistas, la postura actual del Departamento de Defensa es diferente.
“La forma en que ha funcionado en el pasado es: usted afirma que lo hace, y nunca lo verificamos. Usted se autocertifica y, si no está certificado, dice que aquí está su plan de recuperación. Ahora lo estamos comprobando «, subrayó.
El sitio web Defence Once, en este contexto, citó a Jason Timm, vicepresidente asistente de política de seguridad nacional de la Asociación de Industrias Aeroespaciales de EE. UU., Diciendo que todavía no ha oído hablar de nadie que todavía no haya obtenido un contrato, pero que «la probabilidad [de no obtenerlo] es allí.»
Agregó que las áreas en las que los contratistas tienen problemas para cumplir con los estándares del Pentágono incluyen la autenticación multifactor y el cifrado validado por FIPS (Estándares federales de procesamiento de información).
Los nuevos estándares de seguridad cibernética del Pentágono
Los comentarios se produjeron después de que el Pentágono lanzó a principios de este año una serie de nuevas orientaciones y notas para actualizar sus nuevos estándares de seguridad cibernética que se introdujeron en enero de 2018 después de que los piratas informáticos lograron robar datos confidenciales sobre el F-35 Joint Strike Fighter de un subcontratista australiano en 2016
En línea con los memorandos, el Pentágono advirtió a los contratistas que perderán negocios si ellos o sus proveedores no cumplen con las nuevas reglas.