Copyright © 2019 Holland & Knight LLP.  All Rights Reserved

Digital Transformation and Security

Marissa SerafinoMarch 4, 2020

2

“Marissa Serafino is an attorney in Holland & Knight's Washington, D.C., office and member of the firm's Public Policy & Regulation Group. Ms. Serafino focuses on the critical intersection of law and policy on privacy and cybersecurity matters, political law and compliance, the National Defense Authorization Act (NDAA) and the environment. Clients, including corporations, coalitions, trade associations and local governments, look to Ms. Serafino for the development and execution of legislative and regulatory strategies to advance their short- and long-term objectives.”

INTRODUCTIONS

AGENDA

• The Evolving Cyber Threat Landscape• Common Cybersecurity Threats • Targets for Cyber Criminals • Cybersecurity and Resiliency Practices• The Regulatory Landscape• Congress• White House Cybersecurity Strategy (Sept. 2018)• National Institute of Standards and Technology (NIST)• Department of Defense: Cybersecurity Maturity Model

Certification (CMMC)• Important Resources• Key Takeaways• Questions

3

The Evolving Cyber Threat Landscape

4

“Cyber threats remain one of the most significant strategic risks for the United States, threatening our national security, economic prosperity, and public health and safety. Advanced persistent threat actors, hackers, cyber criminals, and nation-states, have increased the frequency and 

sophistication of their attacks.”

Christopher Krebs, Director of CISA, DHS, February 11, 2020

“it’s not script kiddies anymore…we have now nation states as well as hacktivists, who are doing things for ideological reasons. And 

additionally, cybercrime is big business. It is a one trillion dollar business globally—that is a lot of motivation and a lot of resource that we have to 

respond to.”

Liz Joyce, the Chief Information Security Officer of Hewlett Package Enterprise (Cyber 2020 Live, July 20, 2018)

Common Cybersecurity Threats

5

Malware

 Viruses 

Phishing 

Ransomware 

Targets for Cyber Criminals

• Businesses/Organizations of All Sizes– Small to Medium Size Businesses – Government Contractors• 2014 OPM cyberattack• 2018 U.S. Navy cyberattack that stole submarine plans from contractor

• Governments– Federal Government – State, Local and Tribal Governments 

6

Cybersecurity and Resiliency Practices

• On January 27, Securities and Exchange Commission Commission's Office of Compliance Inspections and Examinations (OCIE) issued examination observations “related to cybersecurity and operational resiliency practices taken by market participants.”

• The SEC highlights approaches taken by market participants to secure systems and respond to events in the following areas: governance and risk management, access rights and controls, data loss prevention, mobile security, incident response and resiliency, vendor management, and training and awareness. 

7

Governance and Risk Management

• Engage senior level management 

• Conduct a risk assessment to identify, analyze and prioritize cybersecurity risks to an organization 

• Develop written cybersecurity policies and procedures to address those risks

• Effectively implement and enforce policies and procedures and test effectiveness 

• Establish internal and external communication policies to provide timely information to decision makers, customers, employees and regulators

8

Access Rights and Controls

• Understand the location of data, including client information 

• Restrict access to systems and data to authorized users 

• Establish appropriate controls to prevent and monitor for unauthorized access

9

Data Loss Prevention

• Use or have ready a set of tools and processes to ensure that sensitive data, including client information, is not lost, misused, or accessed by unauthorized users. This includes:

– Vulnerability Scanning – Perimeter Security – Detective Security – Patch Management – Inventory Hardware and Software – Encryption and Network Segmentation – Insider Threat Monitoring – Security Legacy Systems and Equipment 

10

Mobile Security

• Establish policies and procedures for the use of mobile devices 

• Manage the use of mobile devices 

• Implement Security Measures 

• Train employees  

11

Incident Response and Resiliency • Incident Response 

– Develop a Plan for different scenarios that includes:• Timely notification and response • A process to escalate an incident to appropriate levels of management, including legal and compliance functions 

• Communications with key stakeholders – Address Applicable Reporting Requirements – Assign Staff to Execute the Plan – Test and Assess the Plan (tabletop exercises)

• Resiliency – Identify core business services (data/systems mapping)– Assess risks and prioritize business operations (avoid concentration of risk)

– Consider additional safeguards (back-up data, cyber insurance)

12

Vendor Management

• Create a vendor management plan 

• Conduct due diligence for vendor selection

• Monitor vendors and contract terms 

• Assess how vendor relationships are considered as part of the organization’s ongoing risk assessment progress and the appropriate level of due diligence to conduct on a vendor

• Assess how vendors protect any accessible client information 

13

Training and Awareness

• Develop Policies and Procedures as a Training Guide 

• Conduct interactive training, such as phishing exercises 

• Include preventative measures in trainings, such as identifying and responding to indicators of a breach or suspicious behavior

• Monitor and assess training effectiveness 

14

THE REGULATORY LANDSCAPE

15

Congress• Every committee in Congress cares about cybersecurity and supply chain risk • Increased Appropriations (2019)• Cyberspace Solarium Commission (2018)• Federal Acquisition Security Council (2018)• FY 2020 NDAA included a provision requiring each military service to create a principal cyber adviser (2019)

16

WHITE HOUSE CYBERSECURITY STRATEGY (SEPT. 2018)• “The United States cannot afford to have sensitive government information or systems inadequately secured by contractors.” • “Federal contractors provide important services to the United States Government and must properly secure the systems through which they provide those services.”• “Going forward, the Federal Government will be able to assess the security of its data by reviewing contractor risk management practices and adequately testing, hunting, sensoring, and responding to incidents on contractor systems.” • “Contracts with Federal departments and agencies will be drafted to authorize such activities for the purpose of improving cybersecurity.” 

17

National Institute of Standards and Technology (NIST)

• Cybersecurity Framework 1.1 (April 2018): Standards, guidelines and best practices to manage cybersecurity risk

• NIST Special Publication (SP) 800-171 Guidelines (May 2015): “Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations”

• NIST SP 800-171B (June 2019): “Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations: Enhanced Security Requirements for Critical Programs and High Value Assets”

18

Department of Defense: Cybersecurity Maturity Model Certification (CMMC)

19

• What is CMMC?– On January 30, the U.S. Department of Defense

(DOD) released version 1.0 of the Cybersecurity Maturity Model Certification (CMMC) framework.

– The CMMC is a set of requirements, organized by multiple maturity levels that range from “Basic Cybersecurity Hygiene” to “Advanced”. 

–All companies (including subcontractors) doing business with the DoD will need to obtain CMMC. 

–Companies will obtain certification through an accredited and independent third party commercial certification organization. 

Department of Defense: Cybersecurity Maturity Model Certification (CMMC) (Cont.)

20

• Timing of CMMC?–Beginning in June 2020, Requests for Information will identify a CMMC level.

–Beginning in September 2020, RFPs will identify a CMMC level that is necessary in order to bid.

• Impact of CMMC?–Expect the program to bring new enforcement mechanisms to cybersecurity and build on the already growing number of FCA actions involving cybersecurity standards

Important Resources

• NIST– NIST has an extensive center on its website covering tips and advice on cybersecurity for small businesses 

– Ransomware draft guidelines for businesses• SEC

– Examination and Observations on Cybersecurity and Operational Resiliency  

• FCC – The Federal Communications Commission offers a cybersecurity planning tool to help you build a strategy based on your business.

• DHS– DHS offers free cyber hygiene vulnerability scanning for small businesses and “Essential Actions for Building a Culture of Cyber Readiness”

21

Key Takeaways• The Federal Government is Aggressively Approaching

Cybersecurity to Inform Your Future Management and Expectations

• Cybersecurity and Resiliency Practices– Train Employees– Secure Networks– Use and Update Antivirus Software– Use Strong Passwords– Use antivirus software and keep it updated– Back Up Your Data– Secure Payment Processing– Control Physical Access 

• Take advantage of government resources, such as NIST, SEC, SBA, DHS and FCC’s small business-specific cybersecurity best practices.

22

Questions?

23