Una nueva norma del Departamento de Defensa de EE.UU. (DOD), destinada a reforzar la ciberseguridad de los contratistas que trabajan con la agencia, podría generar más denunciantes en el complejo militar-industrial.
La norma, que entrará en vigor el 10 de noviembre, rige el Programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC) de la agencia, que verifica que los contratistas de defensa cumplan con las protecciones existentes para la información de contratos federales (FCI) y la información no clasificada controlada (CUI), y que protejan dicha información a un nivel acorde con el riesgo de las amenazas a la ciberseguridad, incluidas las amenazas persistentes avanzadas.
Esta norma responde en gran medida a una serie de informes del Inspector General del DOD, publicados entre 2018 y 2023, que constataron sistemáticamente que los funcionarios encargados de los contratos del departamento no establecieron procesos para verificar que los contratistas cumplieran con determinados requisitos federales de ciberseguridad para la información no clasificada controlada, según lo exige el Instituto Nacional de Estándares y Tecnología (NIST).
Con la nueva norma, el programa CMMC introduce un requisito de confirmación anual, un elemento clave para supervisar y exigir la rendición de cuentas sobre el estado de ciberseguridad de una empresa.
“En esencia, la nueva Norma de la Cláusula CMMC aumenta el riesgo de que un contratista de defensa presente una reclamación falsa al gobierno, lo cual constituye la base de la responsabilidad de la Ley de Reclamaciones Falsas, al certificar falsamente el cumplimiento de los requisitos más exigentes de la norma”, explicó Mary Inman, socia de Whistleblower Partners, un bufete de abogados de San Francisco.
“Un mayor riesgo de responsabilidad de la Ley de Reclamaciones Falsas también conlleva mayores oportunidades para que los denunciantes alerten al gobierno sobre dichas transgresiones y reciban una compensación económica”, declaró.
Incumplimiento más difícil de ocultar.
En su boletín informativo Cyber Business Daily, Kate Fazzini señaló que los nuevos requisitos de CMMC harán que el cumplimiento y la certificación de la ciberseguridad sean términos explícitos en muchos contratos del Departamento de Defensa.
“Las tergiversaciones, ya sean intencionales o negligentes, sobre evaluaciones, controles o el mantenimiento de un ‘estado actual’ serán más fáciles de perseguir bajo la Ley de Reclamaciones Falsas y estatutos relacionados”, escribió. “Los contratistas que permitan fallas de cumplimiento o declaren erróneamente su preparación se enfrentarán a una mayor exposición legal, especialmente si los investigadores gubernamentales o los denunciantes sacan a la luz dichas fallas”.
“Los cambios en CMMC harán que las fallas de cumplimiento sean más difíciles de ocultar y más costosas de ignorar”, añadió. “Los controles cibernéticos ya no se centrarán únicamente en la defensa, sino en la viabilidad a largo plazo en un mercado donde las personas con información privilegiada tienen los medios y la motivación para denunciar”.
La norma CMMC crea nuevos incentivos para la denuncia de irregularidades cibernéticas al establecer estándares de cumplimiento concretos que facilitan la identificación y denuncia de las infracciones, transformando las vagas expectativas de seguridad en requisitos específicos y mensurables que los empleados pueden reconocer claramente cuando se incumplen, observó Frank Balonis, CISO y vicepresidente sénior de operaciones de Kiteworks, proveedor de una plataforma segura para el intercambio de datos privados, con sede en San Mateo, California.
«Con las evaluaciones obligatorias de terceros y la posible responsabilidad legal bajo la Ley de Reclamaciones Falsas para los contratistas que tergiversen su postura en materia de ciberseguridad en contratos federales, las personas con información privilegiada ahora cuentan con mayores protecciones legales y motivaciones financieras para denunciar el incumplimiento, sobre todo teniendo en cuenta que los denunciantes pueden recibir hasta el 30% de la indemnización por daños y perjuicios en casos qui tam», declaró.
Las demandas qui tam, autorizadas por la Ley de Reclamaciones Falsas, permiten a un particular demandar en nombre del gobierno de EE.UU. para exponer fraudes relacionados con programas o contratos federales.
“El énfasis de la norma en la monitorización y documentación continuas genera extensos registros documentales que facilitan a los empleados fundamentar denuncias de prácticas de seguridad inadecuadas o certificaciones fraudulentas, mientras que el alto riesgo de perder contratos federales incentiva a las empresas a recortar gastos, creando más oportunidades para que los empleados observadores presencien y denuncien infracciones”, afirmó.
“Esta combinación de estándares más claros, marcos legales más sólidos y consecuencias financieras significativas transforma el cumplimiento de la ciberseguridad de un concepto abstracto a un área concreta propicia para la actividad de denuncia de irregularidades”, añadió.
Obligaciones de cumplimiento incorporadas en los contratos.
Dale Hoak, CISO de RegScale, una empresa de software de automatización de cumplimiento en McLean, Virginia, argumentó que si una organización hace lo correcto y puede demostrarlo, la denuncia de irregularidades no constituye un riesgo estratégico.
“Podría entrar en juego si se plantean inquietudes internas, pero se ignoran”, declaró. “En ese caso, los empleados podrían verse obligados a escalar la situación externamente. La mejor opción es tratar las denuncias internas con seriedad, para que rara vez tengan que salir de la organización”.
Si bien los nuevos requisitos de cumplimiento buscan disuadir a los adversarios de atacar a los contratistas de defensa, podrían hacerlos más atractivos para los ciberdelincuentes.
“Al igual que ciberdelincuentes como el grupo de ransomware Black Cat/ALPHV presentaron informes a la SEC cuando las víctimas no denunciaron los ciberataques, los denunciantes ciberdelincuentes tienen una forma más de amenazar a las organizaciones que, aunque creían cumplir con los requisitos, tergiversaron su situación actual por negligencia y accidente”, sostuvo Karen Walsh, directora ejecutiva de Allegro Solutions, una empresa de consultoría de ciberseguridad en West Hartford, Connecticut.
“Con la incorporación de la Ley de Reclamaciones Falsas y los estatutos relacionados a esta versión de los requisitos de CMMC, vemos una vez más una carga sobre los contratistas más pequeños”, declaró.
“CMMC siempre ha impuesto y seguirá imponiendo la mayor carga a los contratistas pequeños y medianos”, afirmó.
Por ejemplo, recordó los inicios de CMMC en 2021, cuando los materiales de capacitación indicaban que los contratos se regirían por la Doctrina Cristiana, establecida en el caso G.L. Christian & Associates contra Estados Unidos. “Esta doctrina única en derecho contractual incorpora requisitos de cumplimiento en un contrato incluso cuando no están expresamente incluidos, responsabilizando al contratista de asumir el cumplimiento incluso si el Departamento de Defensa o el contratista anterior no los incluye”, explicó.
Insuficiencia de la Autocertificación.
Sin embargo, Brian Kirk, gerente sénior de seguridad de la información y ciberseguridad en Cherry Bekaert, una firma de contabilidad y consultoría con sede en Raleigh, Carolina del Norte, argumentó que la nueva norma CMMC es necesaria para fortalecer la postura de ciberseguridad de la Base Industrial de Defensa.
“Instancias anteriores, como exigir el cumplimiento de la norma NIST SP 800-171, dependían en gran medida de la autocertificación, lo cual resultó insuficiente”, declaró. La norma NIST SP 800-171 describe los requisitos de seguridad para proteger la Información Controlada No Clasificada (CUI) en sistemas y organizaciones no federales, especialmente en aquellos que trabajan con el gobierno de EE.UU.
“Muchos contratistas no implementaron los controles requeridos, lo que dejó vulnerable la Información Controlada No Clasificada (CUI) sensible”, explicó Kirk. “CMMC introduce evaluaciones de terceros y una rendición de cuentas estructurada para garantizar que los contratistas que manejan CUI cumplan con los estándares de ciberseguridad requeridos”.
“Con la finalización de la norma CMMC por parte del Pentágono, el programa pasa oficialmente de ser una política a requisitos exigibles, lo que tiene importantes implicaciones para el canal”, añadió Andy Black, cofundador y director ejecutivo de Kovr.ai, una empresa especializada en la automatización del cumplimiento cibernético para entornos de nube e híbridos, en Reston, Virginia.
“Los revendedores, proveedores de servicios gestionados y otros socios que apoyan a los contratistas de defensa ahora deben garantizar que sus soluciones cumplan con los estándares CMMC, ya que los contratistas deben integrar estos requisitos en sus cadenas de suministro cada vez más”, declaró.
John Ackerly, director ejecutivo y cofundador de Virtru, proveedor de herramientas de cifrado y control de acceso, en Washington, D.C., explicó que la CMMC 2.0 se ha estado desarrollando durante años: se ha optimizado de cinco a tres niveles, se ha ajustado para reducir la carga de trabajo de las pequeñas empresas y se ha perfeccionado mediante innumerables periodos de consulta.
«Las organizaciones que sobresalgan serán aquellas que primero aseguraron su CUI con soluciones efectivas y de bajo costo, y luego las ampliaron a partir de ahí», declaró. «Cuando los contratos comiencen a incluir requisitos de CMMC, el ‘estamos trabajando en ello’ no será suficiente».
