Para proteger os planos do F-47 de hackers, a Boeing deve contar com o CMMC e a confiança zero: oficial do DoD
BREAKING DEFENSE - Carley Welch - 9 MAIO, 2025
"A certificação CMMC será uma prova — confiança, verificará se essas empresas têm a postura cibernética necessária para proteger os dados que são essenciais para a segurança nacional, como em programas como o F-47", disse Katie Arrington, que está desempenhando as funções de CIO do DoD, ao Breaking Defense.
TECHNET CYBER 2025 — Para manter os planos do caça F-47 altamente confidencial da Força Aérea dos EUA protegidos contra hackers, a contratada principal Boeing terá que contar com as medidas de segurança cibernética do Departamento de Defesa, como a Certificação do Modelo de Maturidade em Segurança Cibernética (CMMC) e a confiança zero , disse Katie Arrington ao Breaking Defense.
Arrington, que ocupará o cargo de CIO até que a recém-nomeada Kristen Davies assuma o cargo, aguardando confirmação, afirmou que a adesão a esses princípios de segurança é fundamental, especialmente com as lições ainda frescas na mente de supostas intrusões chinesas que roubaram dados dos F-35 e F-22 de quinta geração fabricados pela Lockheed Martin, bem como de aeronaves Boeing. Posteriormente, a China produziu seu próprio caça de quinta geração, o J-20, que compartilhava algumas semelhanças suspeitas com as fuselagens americanas.
“Alguém sabe o que aconteceu com o F-35?”, perguntou Arrington à plateia durante uma apresentação no TechNet Cyber, em Baltimore. “O que decolou cerca de seis meses depois do F-35, que tinha exatamente a mesma cláusula de candidato do projeto original do F-35? O J-20. Eles [China] não se saíram bem por conta própria. Se saíram bem com o dinheiro dos seus impostos. Se saíram bem com a sua P&D [pesquisa e desenvolvimento]. Se saíram bem com o sangue dos seus homens e mulheres no campo de batalha. Vocês estão dispostos a deixá-los continuar fazendo isso?”
Para deter hackers, Arrington disse que a Boeing também deve garantir que seus subcontratados para o F-47 estejam utilizando o CMMC — um programa que define novos padrões para contratantes que lidam com informações controladas não classificadas — bem como implementar a confiança zero, um paradigma de segurança no qual os usuários são continuamente avaliados para acessar apenas os dados e segmentos de rede que deveriam acessar.
A versão mais recente do CMMC foi lançada em dezembro passado e, até o momento, nenhuma empresa possui certificação de terceira parte ou nível 3, disse Arrington. No entanto, ela afirmou que a Boeing participou do Programa de Vigilância Conjunta no ano passado, que concluiu que a empresa estava 100% em conformidade com os 110 controles do Padrão Nacional de Informação e Tecnologia (NIST).
“CMMC e confiança zero, tudo o que podemos discutir é sobre uma cultura de segurança cibernética”, disse Arrington à Breaking Defense em entrevista exclusiva. “Adjudicamos esse trabalho a uma empresa que está implementando os 110 controles do NIST, e caberá à Boeing, em sua cadeia de suprimentos, garantir que todas as empresas que estão obtendo o CUI estejam implementando esse padrão NIST. Isso as ajudará no processo de certificação CMMC, pois representa uma redução de custos tanto para a Boeing quanto para o governo, e elas não precisarão fazer esse trabalho pesado sozinhas.”
“A certificação CMMC será uma prova — confiança, verificará se essas empresas têm a postura cibernética necessária para proteger os dados essenciais à segurança nacional, como em programas como o F-47”, disse ela.
A Boeing se recusou anteriormente a comentar à Breaking Defense sobre seus planos de segurança cibernética para o projeto F-47, e um porta-voz não respondeu imediatamente a um pedido de comentário sobre as declarações de Arrington.
Em uma entrevista separada, Stacy Bostjanick , chefe de segurança cibernética da base industrial de defesa no escritório do diretor de informações do DoD, disse ao Breaking Defense que as empresas, especialmente as menores, precisam ter cuidado com onde obtêm suas auditorias de terceiros para obter a certificação CMMC de nível três.
“Recomendo fortemente que qualquer pessoa que queira obter a certificação entre em contato com os diferentes provedores de serviços em nuvem e MSPs [provedores de serviços gerenciados] disponíveis. Você precisa pesquisar. Você precisa saber o que está procurando e entender que a Cyber AB [órgão de acreditação] tem um mercado onde eles vão disponibilizar esses recursos para que as empresas possam descobri-los”, disse ela.
Em linhas gerais, ela alertou as empresas para "fazerem a lição de casa, porque, infelizmente, fomos informados de que existem vendedores de óleo de cobra por aí, pessoas suspeitas que chegam e dizem: 'É, me dê US$ 100.000 e eu te certifico em CMMC em dois dias', e eles não estão dizendo a verdade. Tenham cuidado, compradores.'"