Industriegruppen befürchten, dass Cyber in dem Auftragswirrwarr von Bundesaufträgen verloren gehen könnte

  • Ein Fußgänger geht am 29. Januar 2020 in Chicago, Illinois, am Hauptsitz von The Boeing Company vorbei. Neue Berichtspflichten für IT- und OT-Auftragnehmer haben in der Contracting-Community zu Bestürzung geführt. (Foto: Scott Olson/Getty Images)

    In der Welt des Contracting kommt es auf Klarheit an.

    Nahezu jede Aufgabe und Dienstleistung, die in einem Bundesvertrag beschrieben wird, ist spezifisch und umreißt die Dienstleistungen, die der Anbieter erbringen soll, für wie lange, mit welchem Grad an Zuverlässigkeit, die Anzahl und den Standort der Mitarbeiter, die vor Ort oder außer Haus verfügbar sein sollen, wie viel das alles kostet und welche Standards eingehalten werden müssen.

    Dies ist eine andere Art zu sagen, dass Auftragnehmer – eine Gemeinschaft, die regelmäßig wöchentliche oder monatliche Schulungen veranstaltet, um Unternehmen dabei zu helfen, ihre Dienstleistungen und Produkte an die gesetzlichen Anforderungen anzupassen – Unsicherheit verabscheuen.

    Eine von der Biden-Administration im Mai herausgegebene Durchführungsverordnung würde den Bundesbehörden eine Reihe neuer Anforderungen auferlegen, von denen sich einige direkt auf den Beschaffungsprozess beziehen und andere wiederum Auswirkungen auf die Gemeinschaft der Anbieter und Auftragnehmer haben könnten, die diese Dienstleistungen erbringen.

    Industriegruppen haben die Idee im Prinzip begrüßt, aber einige haben auch Bedenken geäußert, dass den Auftragnehmern entscheidende Details und Zusammenhänge fehlen, was erwartet wird und ob sie in der Lage sein werden, die neuen Anforderungen der Regierung zu erfüllen.

    Während die von Biden im Mai veröffentlichte Durchführungsverordnung die Bemühungen der Regierung, die Anforderungen an die Sicherheit zu erhöhen, deutlich hervorhebt, merkte Gordon Bitko, Senior Vice President for Policy beim Information Technology Industry Council, an, dass dies nur eines von zahlreichen neuen Themen ist, denen die Auftragnehmer Priorität einräumen müssen. Andere Durchführungsverordnungen in diesem Jahr haben in ähnlicher Weise eine Reihe anderer Schwerpunktbereiche hervorgehoben, von der Verbesserung der Rassengleichheit im Vertragsprozess bis hin zur Verringerung des CO2-Fußabdrucks eines Unternehmens und der Fokussierung auf inländische Fertigung im Gegensatz zu internationaler Auslagerung.

    Während er alle diese Initiativen unterstützt, äußerte Bitko die Sorge, dass die kumulative Wirkung zu einer Anbietergemeinschaft führen könnte, die weitgehend verwirrt darüber ist, was erforderlich ist, um einen Vertrag zu gewinnen und was nicht. Wenn zum Beispiel eine Behörde einen Vertrag ausschreibt und ein Anbieter eine bessere Cybersicherheit hat, ein anderer aber in die Reduzierung der Umweltkosten seiner Dienstleistungen investiert hat, welchen Anbieter sollte die Behörde dann gegenüber dem anderen bevorzugen oder belohnen? Wie viele Behörden werden die Hände in den Schoß legen und entscheiden, dass es weniger kompliziert ist, ein System intern zu bauen oder das Projekt ganz aufzugeben?

    “Das sind alles bewundernswerte Ziele, und es ist verständlich, warum sie alle durch die Beschaffung angegangen werden, aber wenn man sie zusammen nimmt, wird dies zu einer echten Herausforderung für die Regierung, für das Beschaffungspersonal in den Agenturen”, sagte er während einer Pressekonferenz am 29. Juni. “Bei keiner dieser Anforderungen geht es um die typischen Wege, auf denen die Regierung Waren und Dienstleistungen kauft, es geht um andere Prioritäten und indirekte Dinge, die die Behörden bei der Beschaffung berücksichtigen müssen.”

    Eine der zweideutigeren Änderungen könnte im September kommen, wenn die Leiter des Heimatschutzministeriums und des Office of Management and Budget “Schritte” unternehmen müssen, um sicherzustellen, dass IT- und operative Technologiedienstleister, die Verträge mit der Regierung abschließen, Daten zu Sicherheitsverletzungen und Cybersecurity-Vorfällen teilen. Dies geschieht, nachdem eine Welle schädlicher Hacks in der Lieferkette im vergangenen Jahr Unternehmen wie SolarWinds ins Visier nahm, die Software und andere Technologiedienstleistungen für die Regierung bereitstellen, um die Netzwerke der Bundesbehörden zu kompromittieren.

    Die Schritte werden sicherlich auch Aktualisierungen der bestehenden Vertragssprache beinhalten, die es den Auftragnehmern einschränkt oder verbietet, solche Daten mit der Cybersecurity and Infrastructure Security Agency, dem FBI und den Geheimdiensten zu teilen, die oft mit der Reaktion auf Vorfälle nach einem Hack beauftragt sind.

    Megan Petersen, Senior Director of Policy, Public Sector and Council bei ITI und ehemalige Beschaffungsanwältin beim FBI, sagte, dass nach wie vor weit verbreitete Verwirrung darüber herrscht, welche Daten oder Informationen von Auftragnehmern erwartet werden, mit diesen Behörden zu teilen. Es gibt auch andere Gleichgewichte, wie den Datenschutz, die die Details mehr als nur eine akademische Übung machen.

    “Die Regierung wird einige der rechtlichen und datenschutzrechtlichen Anforderungen durchdenken müssen, die mit all dem verbunden sind, soweit die Auftragnehmer nicht bereits berechtigt oder verpflichtet sind, Informationen zu sammeln, zu überwachen und mit der Regierung zu teilen”, sagte Petersen auf die Frage nach dem Komfortniveau der Auftragnehmer, von denen erwartet wird, dass sie diese neuen Berichtsanforderungen erfüllen. “Es wird wirklich einige spezifische Änderungen in den Verträgen geben müssen. [or] Aktualisierungen der Behörden, aber all das muss in Bezug auf die Frage analysiert werden, wie die Auftragnehmer diese Informationen tatsächlich bereitstellen können, welche Befugnisse sie dazu haben. Das muss auch über die technischen Implikationen hinaus geprüft werden: ‘Können sie das tun?'”

    Letetia Henderson, ehemalige stellvertretende Administratorin für das Office of Acquisition bei der Transportation Security Administration, sagte gegenüber SC Media, dass diese Verwirrung oft das Produkt der Bundesbürokratie und des Regelsetzungsprozesses ist. Eine Exekutivanordnung kann die Agenturen anweisen, etwas zu tun, aber es liegt oft an den Agenturen und einzelnen Büros, das Wie zu bestimmen.

    In diesem Fall sagte Henderson, dass die Klarheit, die die Auftragnehmer suchen, wahrscheinlich nicht von den Beschaffungsbeamten kommen wird, sondern von den Berichtsanforderungen, die von den Ämtern entwickelt wurden, die die betroffenen Systeme und Programme besitzen.

    “Was ich sagen würde, ist, dass die Vertragsgemeinschaft und speziell die Beschaffung die Verantwortung hat, sicherzustellen, dass die Regierung einen Wert für das bekommt, was sie kauft”, sagte sie. “Die Leidenschaft, die damit verbunden ist, sich gegen Veränderungen zu wehren oder sich zu beschweren, hat mehr damit zu tun, dass man sich darüber im Klaren ist, was die Veränderung ist und wie wir sie umsetzen. Ich denke, es geht weniger um die Beschaffungsgemeinschaft als vielmehr um die Anforderungsgemeinschaft und darum, wie sie die Veränderung annimmt und beschreibt, was die Anforderungen sein sollten.”

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com