Shoda s DFARS je již nějakou dobu v centru pozornosti hlavních dodavatelů i dodavatelů ministerstva obrany. Více než 87 % smluv ministerstva obrany uzavřených v roce 2017 již mělo v sobě zakotvenou doložku DFARS 252.204-7012 a velcí i malí dodavatelé ministerstva obrany sklízejí výhody plynoucí z prokázání „odpovídajícího zabezpečení“ prostřednictvím implementace standardu NIST SP 800-171, jak vidíme u našich zákazníků. Na druhém konci kybernetické duhy DoD někteří zažívají temnou stránku odsouvání shody a v současné době spěchají s hledáním řešení, jak odstranit překážku pro získání ocenění. Tento účet jsme viděli na vlastní oči, protože jsme zákazníkům pomohli využít CyberStrong k rychlému dosažení shody.
Podle publikace DoD Assessing the State of a Contractor’s Internal Information System in a Procurement Action „Plány opatření, průběžné monitorování a plán zabezpečení systému (NIST SP 800-171 Security Requirements 312.2-3.12.4) musí řešit všechny bezpečnostní požadavky“.
Podle téhož dokumentu je jedním z cílů při posuzování dodavatele v rámci veřejné zakázky posouzení implementace standardu NIST SP 800-171 / DFARS 252.204-7012 jako samostatného technického faktoru vedle „odpovídajícího zabezpečení“, proto hodnotitel „zahrne plán zabezpečení systému (SSP) a akční plán do samotné smlouvy“. Vezměte na vědomí: Pokud ještě nemáte SSP nebo POAM, možná byste měli zvážit jejich automatizaci pomocí platformy CyberStrong.
Dalším důležitým cílem, který je třeba vzít na vědomí, je, že organizace, která zadává zakázku, bude „Posuzovat/sledovat implementaci bezpečnostních požadavků NIST SP 800-171 po zadání zakázky“. Tento cíl má vliv na organizace, které při prokazování shody bojují s tabulkami – měly by zvážit použití živé, průběžné platformy pro zajištění shody s DFARS, jako je CyberStrong, díky níž bude prokazování shody a sledování pokroku snadné, jednoduché a přímočaré. Sledovat a prokazovat shodu nemusí pouze subdodavatel, ale i hlavní dodavatel musí sledovat všechny své aspekty a dodavatele. CyberStrong umožňuje dodavatelům i primárnímu dodavateli snadno zjistit stav shody a sledovat jejich pokrok, aby prokázali náležitou péči a prokázali „dostatečné zabezpečení“, ne-li lepší.
S ohledem na to uvádíme seznam rizik, která podstupujete, pokud shodu s DFARS 252.204-7012 odsouváte nebo ji řídíte způsobem, který ztěžuje prokazování aspektu shody, například pomocí tabulek. Tato rizika jsou věrohodně převzata z časopisu National Law Review.
Nabídky: Pokyny DoD, o nichž byla řeč výše, jasně říkají, že SSP a POA&M hrají roli při kvalifikaci „odpovídajícího zabezpečení“, ale nevíme, jakou roli budou hrát při protestech proti nabídkám. V prvním návrhu dokumentu s pokyny se uvádí, že ministerstvo obrany může na základě těchto dokumentů provést tyto úkony: může na základě stavu implementace rozhodnout o přijatelnosti/nepřijatelnosti a zadat či nezadat zakázku, nebo může implementaci hodnotit „jako samostatný technický hodnotící faktor“. To však naznačuje, že může být požadováno více požadavků, než je minimum požadované v NIST SP 800-171.
Jako organizace v nabídkovém řízení můžete být odmítnuti z důvodu nesouladu mezi vaším SSP a POAM a stavem vašeho kybernetického zabezpečení v souvislosti s NIST 800-171. Pokud je implementace standardu NIST SP 800-171 ze strany vítěze v rozporu s jeho dokumenty, ministerstvo obrany nebo společnost Prime pravděpodobně zvolí jinou zakázku. Bez ohledu na to budou vyžadovat SSP a POAM ke kontrole, protože ty tvoří dodavatelskou koncesi pro rok 2018. Pokud jste v minulosti obdrželi dotazník, vězte, že tento dokument vás nečiní vyhovujícími a tyto dokumenty o shodě jsou pro váš úspěch nejdůležitější.
Ukončení: Pro vyhodnocení souladu s vašimi SSP a POAM se v pokynech uvádí, že vaše smlouva musí obsahovat požadavky na údaje o smlouvě (CDRL), které „vyžadují dodání plánu bezpečnosti systému a případných plánů opatření po uzavření smlouvy“. Opět platí, že pokud nemáte živý, transparentní a jednoduchý způsob, jak tyto dokumenty připravit pro každou novou smlouvu – automatizujte je! Přesnost vašeho SSP a POAM a navíc jasné prokázání, že sledujete dosažení plného souladu, je nejdůležitější. SSP a POAM budou ve vaší smlouvě, tudíž jejich nedodržení může snadno vést k vypovězení smlouvy.
Audity DCMA: Ministerstvo obrany v prezentacích a na internetu jasně uvedlo, že úřad DCMA bude ověřovat, zda dodavatel má SSP a POA&M. Pokud jste ještě nezažili interakci úřadu DCMA s vaší organizací týkající se normy NIST 800-171, možná vás to v budoucnu čeká.
Zákon o falešných nárocích: Toto riziko je důležité vzít na vědomí. Použití SSP k vyhodnocení vašich bezpečnostních opatření a jeho použití jako výstupu souvisejícího se státní zakázkou může zvýšit potenciální riziko porušení zákona False Claims Act pro vaši společnost. Příklad: SSP může zkreslovat skutečný stav kybernetické bezpečnosti dodavatele a ministerstvo obrany může podniknout kroky na základě podněcování k podvodu. Ministerstvo obrany může prokázat, že stav kybernetické bezpečnosti dodavatele byl zahrnut do rozhodnutí o přidělení zakázky, a to by mohlo potenciálně ohrozit všechny příjmy v rámci kontaktu.