Как государственные и оборонные подрядчики могут снизить киберриск

В разгар глобального кризиса обрабатывающая промышленность остается важной частью инфраструктуры США, особенно когда речь идет об обороне.

Программа национальной обороны полагается на мастерские для изготовления основных деталей, а мастерские, в свою очередь, зависят от государственных контрактов, чтобы подпитывать свой малый бизнес. По мере того как цепочки поставок становятся более уязвимыми и неуверенными, очень важно, чтобы рабочие места нашли способы стать более устойчивыми, надежными и безопасными.

Государственные контракты связаны с высокими ставками для рабочих мест, особенно когда речь идет о кибербезопасности. Несмотря на то, что в нем хранятся высокочувствительные производственные данные, сегодня большинство рабочих мест отстают со своей инфраструктурой кибербезопасности. Они по-прежнему используют локальные системы, устаревшие версии Microsoft Windows и Excel и большие файловые серверы. Во многих случаях любой пользователь сети может получить доступ к любому файлу через общий диск, включая киберпреступников, взламывающих магазин.

Многие небольшие рабочие места предполагают, что они не станут мишенью для киберпреступников, но на самом деле хакеры с большей вероятностью украдут конфиденциальные данные, если считают, что магазины менее защищены, чем внутренние сети современных военных поставщиков. Часто хакеры заинтересованы в краже финансовой информации или использовании сетей магазинов для фишинга с целью добычи ценной информации. Развертывая фишинговые электронные письма, хакеры могут использовать уязвимости на сервере и проводить атаки на незащищенные системы.

Хотя такой тип нарушения может нанести ущерб любой мастерской, с точки зрения затрат, репутации и доверия, он может быть еще более серьезным с контрактами на оборону. Если сотрудник мастерской становится жертвой фишинга, а вредоносное ПО распространяется по электронной почте магазина и достигает государственных служащих, информация может быть скомпрометирована в течение часа. Мастерские по трудоустройству должны понимать, что шансы такого нарушения не малы; Согласно опросу, проведенному Deloitte среди руководителей производственных предприятий, подвергающихся кибер-рискам, четыре из 10 основных угроз связаны с поведением сотрудников.

Чтобы обеспечить защиту заказчиков оборонной промышленности, особенно в сегодняшних условиях, мастерским нужна современная стратегия кибербезопасности. Ниже приведены некоторые передовые методы обеспечения безопасности и финансового благополучия рабочих мест.

Безопасный обмен данными клиентов

Хотя во многих мастерских есть правила защиты данных в их собственных сетях, эти политики редко регулируют передачу данных поставщикам, например, совместное использование файлов автоматизированного проектирования (САПР). Эта серая зона подвергает риску рабочие места. Каждый поставщик, партнер и дистрибьютор материалов также должны соблюдать стандарты кибербезопасности, что требует обновления способов обмена информацией о клиентах. Любые данные, отправляемые по электронной почте, должны быть зашифрованы. В противном случае, когда к нам придут аудиторы, мастерские по трудоустройству могут нарушить контракт.

Мастерские по трудоустройству могут использовать инструменты для совместной работы, чтобы безопасно обмениваться файлами с третьими сторонами, обеспечивая шифрование данных как при передаче, так и при хранении. Срок действия общего доступа истекает, поэтому он не будет доступен третьим лицам на неопределенный срок, а с облачной технологией просмотра пользователям не нужно загружать файлы. Этот метод не только снижает риск, но и является экономичным способом повышения кибербезопасности.

Соблюдайте федеральные правила

Мастерские, выполняющие оборонные работы, должны сосредоточить усилия по обеспечению соответствия как физическим частям, так и техническим характеристикам. В частности, они должны соблюдать Международные правила торговли оружием (ITAR) и меры экспортного контроля, охватывающие как детали, отправляемые за границу, так и технические данные, раскрываемые не гражданам США. Хотя производственные стандарты кибербезопасности, такие как NIST SP800-171B и ITAR, не применяются законом, они указаны в контрактах на оборону. Когда государственные подрядчики оценивают расценки, они могут (и должны) рассматривать соблюдение требований кибербезопасности мастерской как фактор. Некоторые даже запросят документацию. Государственные подрядчики находятся под собственным давлением, чтобы обеспечить соответствие своих цепочек поставок нормативным требованиям, поэтому все цепочки поставок должны быть готовы к аудиту. Вот почему, учитывая возможность наложения уголовных или гражданских штрафов, многие производители вкладывают значительные средства в I.T. консультанты, модернизация системы и государственное финансирование для достижения соответствия.

Кибербезопасность была и будет оставаться важным элементом в получении и соблюдении государственных контрактов. Кибератаки, утечки данных и вредоносное ПО только увеличиваются, равно как и риски, уязвимость и неопределенность. Службы вакансий должны защищать себя и своих клиентов, чтобы добиться успеха на рынке, и помогать поддерживать обрабатывающую и оборонную промышленность США.

Скотт Сойер - технический директор и соучредитель компании Paperless Parts.