För en tid sedan har DFARS-överensstämmelse varit en viktig fråga för huvudentreprenörer och leverantörer till försvarsdepartementet. Över 87 % av de DoD-kontrakt som skrevs 2017 hade redan DFARS 252.204-7012-klausulen inskriven i dem, och DoD-entreprenörer, stora som små, skördar tilldelningsfördelarna av att bevisa ”adekvat säkerhet” via implementering av NIST SP 800-171, vilket vi ser med vår kundbas. I andra änden av regnbågen för efterlevnad av DoD:s cyberregler upplever vissa den mörka sidan av att skjuta upp efterlevnaden och försöker nu snabbt hitta en lösning för att undanröja hindret för att vinna priser. Vi har sett detta konto med egna ögon när vi har hjälpt kunder att använda CyberStrong för att snabbt uppfylla kraven.
Enligt DoD:s publikation Assessing the State of a Contractor’s Internal Information System in a Procurement Action (Bedömning av tillståndet hos en entreprenörs interna informationssystem i en upphandlingsåtgärd) måste ”handlingsplaner, kontinuerlig övervakning och systemets säkerhetsplan (NIST SP 800-171 Security Requirements 312.2-3.12.4) ta upp alla säkerhetskrav”.
Enligt samma dokument är ett av målen vid bedömningen av en entreprenör för upphandling att bedöma genomförandet av NIST SP 800-171 / DFARS 252.204-7012 som en separat teknisk faktor utöver ”adekvat säkerhet”, därför kommer bedömaren att ”införliva systemsäkerhetsplanen (SSP) och handlingsplanen i själva kontraktet”. Observera: Om du ännu inte har någon SSP eller POAM kan du överväga att automatisera dem med CyberStrong-plattformen.
Ett annat viktigt mål att notera är att den organisation som tilldelar kontraktet ska ”bedöma/spåra genomförandet av NIST SP 800-171-säkerhetskraven efter kontraktstilldelningen”. Detta mål har en effekt på organisationer som kämpar med kalkylblad för att bevisa efterlevnad – de bör överväga att använda en levande, kontinuerlig efterlevnadsplattform för DFARS-efterlevnad som CyberStrong, som gör det lätt, enkelt och okomplicerat att bevisa efterlevnad och spåra framsteg. Det är inte bara underleverantören som måste spåra och bevisa efterlevnad, utan även huvudentreprenören måste spåra alla sina facetter och leverantörer. CyberStrong gör det enkelt för både leverantörer och huvudentreprenörer att se hur det står till med efterlevnaden och spåra sina framsteg för att visa att de är noggranna och bevisar ”tillräcklig säkerhet” om inte bättre.
Med detta i åtanke följer här en lista över risker som du tar när du skjuter DFARS 252.204-7012-efterlevnaden på framtiden eller hanterar den på ett sätt som gör det svårt att bevisa efterlevnaden, t.ex. med hjälp av kalkylblad. Dessa risker är trovärdigt hämtade från National Law Review.
Bud: Det är tydligt att SSP och POA&Ms spelar en roll när det gäller att kvalificera ”adekvat säkerhet”, men vi vet inte vilken roll de kommer att spela vid protester mot anbud. I det första utkastet till vägledning står det att försvarsdepartementet kan utföra dessa åtgärder på grundval av dessa dokument: det kan göra ett godtagbart/icke godtagbart beslut baserat på genomförandestatus för att tilldela kontraktet eller inte, eller så kan det utvärdera genomförandet ”som en separat teknisk utvärderingsfaktor”. Detta tyder dock på att det kan krävas fler krav än det minimum som krävs i NIST SP 800-171.
Som organisation i anbudsprocessen kan du bli nekad på grund av inkonsekvenser mellan din SSP och POAM och läget för din cybersäkerhet i förhållande till NIST 800-171. Om den tilldelade anbudsgivarens genomförande av NIST SP 800-171 inte stämmer överens med dess dokument kommer DoD eller Prime troligen att välja ett annat kontrakt. Oavsett detta kommer de att kräva att SSP och POAM granskas, eftersom de gör att en leverantör kan tilldelas kontraktet för 2018. Om du har fått ett frågeformulär tidigare ska du veta att det dokumentet inte gör dig kompatibel och att dessa dokument om överensstämmelse är av största vikt för din framgång.
Terminering: För att utvärdera efterlevnaden av din SSP och POAM säger vägledningen att ditt kontrakt måste innehålla krav på kontraktsdata (CDRL) som ”kräver leverans av systemsäkerhetsplanen och eventuella åtgärdsplaner efter kontraktstilldelningen”. Återigen, om du inte har ett levande, transparent och enkelt sätt att få dessa dokument klara för varje nytt kontrakt – automatisera dem! Det är av största vikt att din SSP och POAM är korrekta och att du tydligt visar att du följer utvecklingen mot full överensstämmelse. SSP och POAM kommer att ingå i ditt kontrakt, så om du inte följer dem kan det lätt leda till uppsägning.
DCMA-revisioner: DoD har klargjort i presentationer och på nätet att DCMA kommer att kontrollera att entreprenören har en SSP och POA&M. Om DCMA ännu inte har interagerat med din organisation när det gäller NIST 800-171 kan detta ligga i din framtid.
False Claims Act (lagen om falska påståenden): Denna risk är viktig att notera. Användningen av SSP för att utvärdera era säkerhetsåtgärder och användningen av den som ett resultat i samband med ett statligt kontrakt kan öka den potentiella risken för ett brott mot False Claims Act för ert företag. Exempel: En SSP kan ge en felaktig bild av en entreprenörs faktiska cybersäkerhetsstatus, och DoD kan vidta åtgärder på grundval av bedrägeri i samband med uppmuntran. DoD kan fastställa att en entreprenörs cybersäkerhetsstatus ingick i tilldelningsbeslutet, och detta kan potentiellt äventyra alla inkomster under kontakten.