DFARS Compliance is al enige tijd top of mind voor zowel Prime contractors als leveranciers van het Department of Defense. Meer dan 87% van de DoD-contracten die in 2017 werden geschreven, hadden de DFARS 252.204-7012-clausule al in zich, en grote en kleine DoD-aannemers plukken de gunningsvoordelen van het aantonen van “adequate beveiliging” via NIST SP 800-171-implementatie, zoals we zien bij onze klantenbasis. Aan de andere kant van de DoD cyber compliance regenboog, ervaren sommigen de donkere kant van het uitstellen van compliance, en haasten zich momenteel om een oplossing te vinden om de barrière voor het winnen van awards te verwijderen. We hebben deze rekening uit de eerste hand gezien toen we klanten hielpen CyberStrong te gebruiken om snel compliant te worden.
Volgens de DoD-publicatie Assessing the State of a Contractor’s Internal Information System in a Procurement Action, “moeten actieplannen, continue monitoring en het systeembeveiligingsplan (NIST SP 800-171 Security Requirements 312.2-3.12.4) alle beveiligingseisen adresseren”.
Volgens hetzelfde document is een van de doelstellingen bij het beoordelen van een contractant voor een aanbesteding het beoordelen van de implementatie van NIST SP 800-171 / DFARS 252.204-7012 als een afzonderlijke technische factor naast “adequate beveiliging”, daarom zal de beoordelaar “het Systeembeveiligingsplan (SSP) en het Plan van Aanpak in het contract opnemen” zelf. Let op: Als u nog geen SSP of POAM heeft, kunt u overwegen deze te automatiseren met het CyberStrong Platform.
Een andere belangrijke doelstelling is dat de organisatie die het contract toekent “de implementatie van NIST SP 800-171 beveiligingsvereisten zal beoordelen/volgen na gunning van het contract”. Deze doelstelling heeft een effect op organisaties die met spreadsheets vechten om compliance aan te tonen – zij zouden moeten overwegen om een live, continu compliance platform voor DFARS compliance te gebruiken, zoals CyberStrong, dat het bewijzen van compliance en het bijhouden van de voortgang gemakkelijk, eenvoudig en ongecompliceerd zal maken. Niet alleen de onderaannemer moet de naleving bijhouden en bewijzen, maar ook de hoofdaannemer moet al zijn facetten en leveranciers bijhouden. CyberStrong maakt het gemakkelijk voor zowel leveranciers als primes om de staat van compliance te zien en hun voortgang te volgen om due diligence aan te tonen en “adequate security” aan te tonen, zo niet beter.
Met dat in gedachten, is hier een lijst van risico’s die u neemt wanneer u DFARS 252.204-7012 compliance uitstelt of het beheert op een manier die het bewijsaspect van compliance moeilijk maakt, zoals spreadsheets. Deze risico’s zijn op geloofwaardige wijze afkomstig uit de National Law Review.
Biedingen: De hierboven besproken DoD-leidraad is duidelijk dat SSP’s en POA&M’s een rol spelen bij het kwalificeren van “adequate beveiliging”, maar we weten niet welke rol ze zullen spelen bij biedingsprotesten. De eerste ontwerprichtlijn zegt dat het DoD deze acties kan uitvoeren op basis van deze documenten: het kan een aanvaardbare/onaanvaardbare beslissing nemen op basis van de implementatiestatus om het contract al dan niet te gunnen, of het kan de implementatie evalueren “als een afzonderlijke technische evaluatiefactor”. Dit suggereert echter dat er mogelijk meer eisen worden gesteld dan het minimum dat in NIST SP 800-171 wordt vereist.
Als organisatie in het biedingsproces zou u kunnen worden afgewezen vanwege inconsistenties tussen uw SSP en POAM en de staat van uw cyberbeveiliging met betrekking tot NIST 800-171. Als de implementatie van NIST SP 800-171 door de opdrachtnemer niet consistent is met de documenten, zal het DoD of de Prime waarschijnlijk een ander contract kiezen. Hoe dan ook, zij zullen het SSP en POAM ter beoordeling eisen, aangezien deze een leveranciersgunning voor 2018 uitmaken. Als u in het verleden een vragenlijst hebt ontvangen, weet dan dat dat document u niet compliant maakt en dat deze compliantiedocumenten van het grootste belang zijn voor uw succes.
Termination: Om de naleving van uw SSP en POAM te evalueren, zegt de leidraad dat uw contract contractgegevensvereisten (CDRL’s) moet bevatten die “de levering van het Systeembeveiligingsplan en eventuele actieplannen na de gunning van het contract vereisen.” Nogmaals, als u niet beschikt over een live, transparante en eenvoudige manier om die documenten voor elk nieuw contract klaar te krijgen – automatiseer ze! De nauwkeurigheid van uw SSP en POAM, plus duidelijk aantonen dat u op weg bent naar volledige naleving, is van het grootste belang. Het SSP en POAM zullen in uw contract worden opgenomen, dus niet-naleving kan gemakkelijk leiden tot beëindiging.
DCMA Audits: Het DoD heeft in presentaties en online duidelijk gemaakt dat de DCMA zal controleren of de aannemer een SSP en POA heeft&M. Als u de DCMA nog niet met uw organisatie heeft gesproken over NIST 800-171, ligt dit wellicht in uw toekomst.
False Claims Act: Dit risico is belangrijk om in het oog te houden. Het gebruik van het SSP om uw beveiligingsmaatregelen te evalueren en het gebruik ervan als een deliverable in verband met een overheidscontract kan het potentiële risico van een False Claims Act overtreding voor uw bedrijf vergroten. Voorbeeld: Een SSP kan een onjuiste voorstelling geven van de werkelijke cyberbeveiligingsstatus van een contractant, en het DoD kan actie ondernemen op basis van fraude in het aanzetten tot. Het DoD kan vaststellen dat de cyberbeveiligingsstatus van een contractant is meegenomen in de gunningsbeslissing, en dit kan mogelijk alle verdiensten onder het contact in gevaar brengen.