Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > CMMC-naleving > Onderzoek onthult alarmerende staat van cyberweerbaarheid binnen de defensie-industriebasis
Onderzoek onthult alarmerende staat van cyberweerbaarheid binnen de defensie-industriebasis

Onderzoek onthult alarmerende staat van cyberweerbaarheid binnen de defensie-industriebasis

by Danielle Barbour updated oktober 22, 2024 CMMC-naleving
Reading Time: 7 minutes

Het Amerikaanse Ministerie van Defensie (DoD) en het uitgebreide netwerk van aannemers vormen de ruggengraat van de nationale veiligheid van de VS. Een recent rapport van CyberSheath onthult echter een diep verontrustende realiteit: de meerderheid van de defensie-aannemers is schrikbarend slecht voorbereid op de vereisten van de Cybersecurity Maturity Model Certification (CMMC), waardoor kritieke infrastructuur en gevoelige data kwetsbaar zijn voor cyberdreigingen.

Het CMMC-certificeringsproces is zwaar, maar ons CMMC 2.0-nalevingsstappenplan kan helpen.

De harde realiteit van CMMC-naleving

Het CyberSheath-onderzoek van 2024, dat is uitgebreid naar aannemers met maximaal 1.000 medewerkers, schetst een somber beeld van de paraatheid op het gebied van cyberbeveiliging binnen de Defense Industrial Base (DIB):

  • Meer dan 75% van de respondenten claimt naleving op basis van zelfevaluatie
  • Minder dan 40% werkt actief aan een System Security Plan (system security plan), Plan of Action and Milestones (POA&M), vereiste controls en voortdurende nalevingsplannen
  • Slechts 4% gelooft dat hun bedrijf volledig klaar is voor CMMC-certificering
  • De gemiddelde Supplier Performance Risk System (SPRS)-score onder respondenten is -12 van de 110, ver onder het door DFARS vereiste minimum van 110

Deze statistieken tonen een aanzienlijk verschil tussen de perceptie van aannemers over hun beveiligingsstatus en de realiteit van hun paraatheid.

Belangrijkste inzichten

  1. Wijdverspreide niet-naleving

    Ondanks zelfevaluaties die een hoge naleving aangeven, is de daadwerkelijke CMMC-paraatheid onder defensie-aannemers schrikbarend laag.

  2. Kritieke infrastructuur in gevaar

    89% van de onderzochte bedrijven opereert in kritieke infrastructuursectoren zoals gedefinieerd door het DoD. Hun gebrek aan paraatheid op het gebied van cyberbeveiliging vormt een ernstig risico voor nationale veiligheid, economische stabiliteit en openbare veiligheid.

  3. Lage adoptie van essentiële technologieën

    De adoptiegraad van cruciale cyberbeveiligingsoplossingen zoals multi-factor authentication (21%), vulnerability management (20%) en patch management (15%) is verontrustend laag, waardoor aannemers kwetsbaar zijn voor cyberaanvallen.

  4. Ondergeschatte nalevingskosten

    Het gemiddelde jaarlijkse budget voor DFARS-naleving ($41.220) is zwaar onvoldoende. Alleen al het voldoen aan de 24/7 netwerkmonitoringvereisten zou een bedrijf met 30-50 medewerkers ongeveer $144.000 per jaar kosten.

  5. Dringende noodzaak tot actie

    Met slechts 4% van de aannemers die zich volledig klaar voelen voor CMMC-certificering, is er een directe behoefte aan meer bewustwording, informatievoorziening, investeringen in cyberbeveiligingsinfrastructuur en mogelijk strengere handhaving van regelgeving om de beveiligingsstatus van de DIB te verbeteren.

Waarom zo weinig aannemers voorbereid zijn

Verschillende factoren dragen bij aan het gebrek aan CMMC-paraatheid onder defensie-aannemers:

1. CMMC-vereisten zijn complex en voortdurend in ontwikkeling

Veel aannemers vinden het lastig om CMMC-vereisten te begrijpen en te implementeren vanwege de complexiteit en het dynamische karakter ervan. Ongeveer 40% van de respondenten beoordeelde DFARS-rapportage met een 8 of hoger op een schaal van 10 qua moeilijkheidsgraad. Het voortdurend veranderende landschap van cyberdreigingen en regelgeving maakt het moeilijk voor bedrijven om bij te blijven.

2. CMMC-naleving is kostbaar

Meer dan 50% van de aannemers benadrukte aanzienlijke kosten door voortdurende veranderingen en noodzakelijke tools en oplossingen. Het gemiddelde jaarlijkse budget voor het behalen en behouden van DFARS-naleving is $41.220, maar dit bedrag is zwaar onvoldoende. Een bedrijf met 30-50 medewerkers moet bijvoorbeeld rekenen op circa $144.000 per jaar alleen al om te voldoen aan de Amerikaanse 24/7 netwerkmonitoringvereisten die door DFARS zijn gespecificeerd.

3. Defensie-aannemers adopteren geen technologieën die cruciaal zijn voor CMMC-naleving

Het onderzoek laat verontrustend lage adoptiecijfers zien voor essentiële cyberbeveiligingsoplossingen. Deze lage adoptie wijst erop dat veel aannemers de basisinfrastructuur missen die nodig is voor robuuste cyberbeveiliging. Voorbeelden van lage adoptiepercentages zijn:

  • Preventie van gegevensverlies (DLP): 33%
  • IT Configuration Management Solution: 30%
  • Security Information & Event Management (SIEM) Solution: 30%
  • Multi-factor Authentication (MFA): 21%
  • Vulnerability Management Solution (VM): 20%
  • Patch Management Solutions: 15%

4. Defensie-aannemers zijn zich niet bewust van of begrijpen CMMC niet

Ondanks het cruciale belang van CMMC-naleving lijken veel aannemers zich niet bewust van het belang van de regelgeving of de mogelijke gevolgen van niet-naleving. Slechts 63% van de respondenten was bijvoorbeeld op de hoogte van Defense Industrial Base Cybersecurity Assessment Center (DIBCAC)-audits.

5. Defensie-aannemers overschatten hun CMMC-paraatheid

Het verschil tussen naleving via zelfevaluatie (meer dan 75%) en de gemiddelde SPRS-score (-12) suggereert dat veel aannemers hun cyberbeveiligingscapaciteiten overschatten. Dit overmatige zelfvertrouwen kan leiden tot gemakzucht en het niet aanpakken van kritieke kwetsbaarheden.

Waarom een gebrek aan paraatheid voor CMMC diep verontrustend is

De gevolgen van wijdverbreide CMMC-niet-naleving binnen de DIB zijn verstrekkend en potentieel catastrofaal:

1. Niet-naleving van CMMC brengt nationale veiligheidsrisico’s met zich mee

89% van de bedrijven in het onderzoek opereert in kritieke infrastructuursectoren zoals gedefinieerd door het DoD. Deze sectoren zijn van vitaal belang voor nationale veiligheid, economische stabiliteit en openbare veiligheid. Onvoldoende cyberbeveiligingsmaatregelen in deze gebieden kunnen desastreuze gevolgen hebben als ze worden misbruikt door tegenstanders.

2. Defensie-aannemers die niet voldoen aan CMMC zijn kwetsbaarder voor cyberaanvallen

De lage adoptie van essentiële cyberbeveiligingstechnologieën maakt defensie-aannemers zeer kwetsbaar voor cyberaanvallen. In een tijdperk van toenemende cyberdreigingen door staten vormt deze kwetsbaarheid een aanzienlijk risico voor gevoelige defensie-informatie en technologieën.

3. Defensie-aannemers die niet voldoen aan CMMC verzwakken de defensieketen

De DIB is een onderling verbonden ecosysteem. Zwakke schakels in één deel van de toeleveringsketen kunnen het hele netwerk in gevaar brengen. Omdat veel aannemers niet voldoen aan de basisnormen voor cyberbeveiliging, loopt de volledige defensieketen risico.

4. Niet-naleving van CMMC heeft ernstige economische gevolgen

Cyberincidenten kunnen leiden tot aanzienlijke financiële verliezen. Het onderzoek toont aan dat veel aannemers al verliezen hebben geleden door cyberincidenten. Voortdurende niet-naleving kan leiden tot nog grotere economische schade, zowel voor individuele bedrijven als voor de defensiesector als geheel.

5. Defensie-aannemers die niet voldoen aan CMMC verliezen hun concurrentiepositie en verzwakken de DIB

Nu de CMMC-vereisten strenger en strikter worden gehandhaafd, lopen niet-nalevende aannemers het risico hun mogelijkheid om mee te dingen naar DoD-contracten te verliezen. Dit kan leiden tot een krimp van de DIB, met mogelijk gevolgen voor innovatie en concurrentie in de defensiesector.

6. Niet-naleving van CMMC heeft ernstige juridische en regelgevende gevolgen

Met meer bewustzijn van de False Claims Act en mogelijke sancties voor onjuiste SPRS-score-rapportage lopen niet-nalevende aannemers aanzienlijke juridische en financiële risico’s.

Moet u voldoen aan CMMC? Hier is uw complete CMMC-nalevingschecklist.

Hoe defensie-aannemers hun beveiligingsstatus kunnen verbeteren richting CMMC-naleving

Op basis van de onderzoeksresultaten zijn hier enkele belangrijke manieren waarop defensie-aannemers hun beveiligingsstatus kunnen verbeteren:

  1. Investeer meer in essentiële cyberbeveiligingstechnologieën. Het rapport toont verontrustend lage adoptiepercentages voor kritieke oplossingen zoals: multi-factor authentication (21% adoptie), vulnerability management (20% adoptie) en patch management (15% adoptie). Door deze basisbeveiligingsmaatregelen te implementeren, wordt de cyberbeveiliging aanzienlijk versterkt.
  2. Reserveer meer budget voor naleving. Het gemiddeld gerapporteerde jaarlijkse budget van $41.220 is zwaar onvoldoende. Alleen al het voldoen aan de 24/7 netwerkmonitoringvereisten zou een bedrijf met 30-50 medewerkers ongeveer $144.000 per jaar kosten. Aannemers moeten hun investeringen in cyberbeveiliging verhogen om aan de CMMC-vereisten te voldoen.
  3. Verbeter de nauwkeurigheid van zelfevaluaties. Er is een groot verschil tussen zelfbeoordeelde naleving (meer dan 75%) en daadwerkelijke paraatheid (gemiddelde SPRS-score van -12 van de 110). Aannemers zouden grondigere zelfevaluaties moeten uitvoeren om beveiligingsgaten te identificeren of de expertise van gecertificeerde derde beoordelingsorganisaties (C3PAO’s) moeten inschakelen.
  4. Ontwikkel uitgebreide System Security Plans (SSP’s) en Plans of Action and Milestones (POAM’s). Minder dan 40% werkt actief aan deze verplichte onderdelen.
  5. Vergroot het bewustzijn en begrip van CMMC-vereisten. Ongeveer 40% beoordeelde DFARS-rapportage als zeer moeilijk (8/10 of hoger). Informatie- en trainingsprogramma’s kunnen helpen deze kenniskloof te overbruggen.
  6. Schakel externe expertise in. Gezien de complexiteit kunnen veel aannemers profiteren van samenwerking met ervaren cyberbeveiligingsbedrijven of Aanbieders van Beveiligingsdiensten (MSSP’s) om naleving te bereiken.
  7. Implementeer continue monitoring en verbeterprocessen. Cyberbeveiliging is geen eenmalige inspanning, maar vereist voortdurende waakzaamheid om in te spelen op evoluerende dreigingen.

Door zich op deze gebieden te richten, kunnen defensie-aannemers aanzienlijke stappen zetten in het verbeteren van hun beveiligingsstatus en toewerken naar CMMC-naleving.

Kiteworks helpt defensie-aannemers CMMC-naleving aan te tonen met een FedRAMP-geautoriseerd Private Content Network

Het CyberSheath-rapport is een harde wake-up call voor de defensie-industrie. Het wijdverbreide gebrek aan CMMC-paraatheid onder defensie-aannemers vormt een ernstig risico voor nationale veiligheid, economische stabiliteit en de integriteit van de defensieketen. Dringende actie is nodig van alle belanghebbenden – aannemers, het DoD en cyberbeveiligingsaanbieders – om deze kritieke kwetsbaarheden aan te pakken en de beveiligingsstatus van de volledige defensie-industrie te versterken.

Nu cyberdreigingen zich blijven ontwikkelen en intensiveren, weegt de prijs van nietsdoen veel zwaarder dan de investering die nodig is voor robuuste cyberbeveiligingsmaatregelen. De toekomstige veiligheid van het land hangt af van het vermogen van de DIB om deze uitdaging aan te gaan en een veerkrachtig, CMMC-conform ecosysteem te creëren dat kritieke defensie-informatie en infrastructuur effectief kan beschermen.

Het Kiteworks Private Content Network, een FIPS 140-2 Level gevalideerd platform voor beveiligde bestandsoverdracht en file sharing, consolideert e-mail, bestandsoverdracht, webformulieren, SFTP, beheerde bestandsoverdracht en next-generation digital rights management-oplossingen zodat organisaties elk bestand kunnen beheren, beschermen en volgen zodra het de organisatie binnenkomt of verlaat.

Kiteworks ondersteunt bijna 90% van de CMMC 2.0 Level 2-vereisten direct. Hierdoor kunnen DoD-aannemers en onderaannemers hun CMMC 2.0 Level 2-accreditatieproces versnellen door te zorgen dat ze het juiste platform voor gevoelige contentcommunicatie hebben.

Met Kiteworks verenigen DoD-aannemers en onderaannemers hun gevoelige contentcommunicatie in een toegewijd Private Content Network, waarbij ze gebruikmaken van geautomatiseerde beleidscontroles, tracking en cyberbeveiligingsprotocollen die aansluiten bij CMMC 2.0-praktijken.

Kiteworks maakt snelle CMMC 2.0-naleving mogelijk met kernmogelijkheden en functies zoals:

  • Certificering met belangrijke Amerikaanse overheidsnormen en -vereisten, waaronder SSAE-16/SOC 2, NIST SP 800-171 en NIST SP 800-172
  • FIPS 140-2 Level 1-validatie
  • FedRAMP Authorized voor Moderate Impact Level CUI
  • AES 256-bit encryptie voor gegevens in rust, TLS 1.2 voor gegevens onderweg en exclusief eigendom van de encryptiesleutel

Kiteworks-inzetopties omvatten on-premises, gehost, privé, hybride en FedRAMP virtual private cloud. Met Kiteworks: beheer toegang tot gevoelige content; bescherm deze bij externe deling met geautomatiseerde end-to-end encryptie, multi-factor authentication en integraties met beveiligingsinfrastructuur; bekijk, volg en rapporteer alle bestandsactiviteiten, namelijk wie wat naar wie, wanneer en hoe verzendt. Toon tenslotte naleving aan met regelgeving en standaarden zoals GDPR, HIPAA, CMMC, Cyber Essentials Plus, IRAP en nog veel meer.

Meer weten over Kiteworks? Plan vandaag nog een persoonlijke demo.

Alarmerende staat van CMMC-paraatheid – Veelgestelde vragen

Uit een recent onderzoek blijkt dat slechts 4% van de defensie-aannemers binnen de Defense Industrial Base (DIB) aangeeft volledig klaar te zijn voor CMMC-naleving. De belangrijkste redenen zijn de complexiteit van CMMC-vereisten, gebrek aan bewustzijn, ondergefinancierde cyberbeveiligingsprogramma’s en lage adoptie van essentiële technologieën zoals MFA en patch management.

Niet erg. Meer dan 75% van de defensie-aannemers binnen de Defense Industrial Base (DIB) claimt CMMC-naleving via zelfevaluatie, terwijl de gemiddelde SPRS-score -12 van de 110 is – wat een duidelijk verschil laat zien tussen de waargenomen en daadwerkelijke paraatheid.

Aannemers binnen de Defense Industrial Base (DIB) lopen het risico op diskwalificatie voor DoD-contracten, blootstelling aan cyberaanvallen, juridische sancties onder de False Claims Act, verlies van concurrentievoordeel en ernstige gevolgen voor de nationale veiligheid.

Veel defensie-aannemers binnen de Defense Industrial Base (DIB) rapporteren een gemiddeld jaarlijks budget voor naleving van regelgeving van $41.220, wat ver onder het benodigde niveau ligt. CMMC kan vooral voor kleine bedrijven ontmoedigend en belastend zijn. Alleen al 24/7 netwerkmonitoring kan circa $144.000 per jaar kosten voor een kleine defensie-aannemer.

Defensie-aannemers binnen de Defense Industrial Base (DIB) zien CMMC-naleving ten onrechte als een afvinkoefening. Veel organisaties denken dat ze compliant zijn op basis van verouderde zelfevaluaties, zonder zich te realiseren dat CMMC 2.0-naleving continue monitoring, robuuste planning en bewezen implementatie van beveiligingsmaatregelen vereist.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks