Flyg- och försvarsorganisationer behöver öka fokus på riskbaserade säkerhetsprocesser

[KRÖNIKA] Den kraftigt reglerade flyg- och försvarsindustrin, vilken uppskattas att värderas till 1600 miljarder dollar år 2025, måste förhålla sig till strikta och komplexa lag- och regelkrav som utfärdats av regeringar och interna intressenter.

Flyg- och försvarsorganisationer behöver öka fokus på riskbaserade säkerhetsprocesser 1
Abhishek Ramavat, GM och Practice Lead EMEA – GRC, HCL Technologies.

På grund av den känsliga karaktären av de produkter och tjänster som levereras av flyg- och försvarsföretag finns det regleringar för användning av råmaterial, tredjepartsavtal, tillverkningsprocesser, uppgraderingar och anställningsprocesser. Riktlinjer utfärdade av tillsynsmyndigheter som Federal Aviation Administration (FAA) och European Aviation Safety Agency (EASA) och lagar för exportkontroll i USA, inom Europeiska Unionen och andra delar av världen betonar behovet av vattentät regelefterlevnad av arbetsflöden och tillhörande datateknologier för att minimera risken för böter och andra påföljder. Regelefterlevnadsprogrammen måste vara smidiga och mycket följsamma med tanke på att exportkontrollerna ständigt utvecklas med förändringar i geopolitiska förhållanden och utrikespolitik.

Nyligen, som ett exempel, begränsade USA exporten av sina försvars- och dual use-teknologier till Hong Kong. Vi ser liknande scenarier i dagens flyktiga, osäkra, komplexa och tvetydiga värld, där länder vidtar drastiska åtgärder för att skydda den nationella säkerheten och uppnå utrikespolitiska eller handelsrelaterade mål. Dessutom finns det standarder som t ex Cybersecurity Maturity Model Certification (CMMC), som säkerställer att endast de försvarsföretag som uppfyller en viss mognadsnivå för cybersäkerhetsmetoder, berättigas att listas som leverantörer. Det är således ingen överraskning att genomarbetade lag- och regelefterlevnadsprogram är avgörande för att säkerställa affärskontinuiteten för flyg- och försvarsföretag.

Behovet av företagsomspännande förändringar av regelefterlevnadsprogram

Enligt John Forrest, Head of Global Trade and Government på DLA Piper, har behovet av agila och genomarbetade program för lag- och regelefterlevnad ökat ytterligare under senare år. Orsaken är framförallt att exportkontroller har utvecklats snabbt, särskilt när det gäller försvars- , flyg- och teknologibranscherna.

Detta har skett I takt med en ökad divergens och sprickbildning gällande åtgärder som införts av västerländska länder som tidigare har agerat med en större grad av anpassning. Till exempel har detta visat sig i de olika EU-ländernas olika strategier när det gäller licensiering försvarsrelaterat material till Saudiarabien samt exportkontrollpolitiken i Europa som påverkas av ytterligare förändringar inom ramen för Brexit, och dessutom i samband med restriktioner för export av särskild teknik som riktar sig till Kina, med ett särskilt fokus på Huawei för närvarande.

Enligt John Forrest, åtföljs den komplexa regelefterlevnadsutmaningen som företag möter av att myndigheter allt oftare utreder, verkställer och straffar överträdelser av exportkontroller. Detta har inkluderat ökade civila påföljder och förlikningar i relation till straffrättsligt åtal och tillämpningen drivs inte minst av att lägre “sannolikhetskriterier” måste uppfyllas, jämfört med standarden ”bortom rimligt tvivel”.

Med tanke på att sådana begränsningar har funnits i decennier, samt att flyg- och försvarsföretag har haft pågående regelefterlevnadsprogram på plats, kan man fråga sig vad det är som har lett fram till en enighet om att dessa program kan behöva moderniseras. Först och främst har den stora mängd data som måste övervakas för att driva efterlevnadsprocesser ökat mångfalt, med ritningar, illustrationer, fotografier, planer, instruktioner och dokumentation i form av PLM-data, e-postmeddelanden, data i delade enheter, äldre data – i både ostrukturerat och strukturerat format. Äldre efterlevnadsprocesser klarar inte av att hantera volymen, variationen och hastigheten i de data som genereras idag. Dessutom har tillsynsmyndigheter, som t ex den amerikanska internationella handelsadministrationen (ITA) och det amerikanska försvarsdepartementet, blivit alltmer vaksamma när det kommer till digitalisering av känsliga data. Det finns tydliga riktlinjer som föreskriver hur sådan data ska skyddas och vad som kan eller inte kan flyttas.

Traditionellt har globala flyg- och försvarsorganisationer förlitat sig på efterlevnadsprocesser på nationsnivå och IT-leverans, vilket resulterat i att data lagrats isolerat och frånvaro av centraliserad synlighet, med minimal datadelning. Detta har inte bara resulterat i en icke-standardiserad informationshantering, utan har också ökat IT-kostnader och redundans, tillsammans med en dålig inblick i effektiviteten av efterlevnadsprogram över geografiska områden. Det har också förekommit problem med att kartlägga efterlevnadskraven med motsvarande teknikinterventioner, delvis på grund av brist på domänexpertis och utmaningar kring tolkning av rådande lagar.

Efterlevnadskraven för flyg- och försvarsorganisationer har ständigt utvecklats och alltid varit reaktiva och fokuserade på att försöka leva upp till sina förpliktelser. Enligt Bo Berndtsson, partner vid Setterwalls Advokatbyrå, har problemet sitt ursprung i att lagstiftningsprocesser är reaktiva snarare än proaktiva.

”Flyg- och försvarsorganisationernas nuvarande efterlevnadsprogram ligger i linje med tillämpbara lagar och riktlinjer. Eftersom tillämpbara lagar och riktlinjer i de flesta fall inte är anpassade till de situationer som kan uppstå på grund av utvecklingen av t ex tekniska interventioner, samt av den mängd och de typer av data som hanteras och övervakas av dagens flyg- och försvarsorganisationer, måste efterlevnadsprogram hela tiden försöka hålla jämna steg med den verklighet som organisationerna befinner sig i,” säger Bo Berndtsson. ”Eftersom lagar och riktlinjer vanligtvis är nationella, medan flyg- och försvarsorganisationer oftast är gränsöverskridande, och eftersom det är svårt att kartlägga efterlevnadskraven med datamängd, variation och hastighet och motsvarande teknologiska interventioner, har flyg- och försvarsorganisationerna en svår situation. Digitaliseringen, globaliseringen och den tekniska utvecklingen kommer högst sannolikt inte att upphöra, utan snarare fortsätta i en allt snabbare takt. Lagstiftarna måste ta hänsyn till detta. ”

En försiktig färdplan för modernisering av efterlevnadsprogram

För att bygga ett globalt varumärke med standardiserade, transparenta, skalbara och agila efterlevnadsprocesser, så krävs att flyg- och försvarsföretag övervinner ett viktigt väghinder – nämligen lokaliserade efterlevnadsmekanismer. Här är tre sätt på vilka företag kan underlätta de utmaningarna vi har diskuterat hittills, samt stärka sina globala efterlevnadsprogram:

  • Gemensamt kontrollramverk: Upprätta ett gemensamt kontrollramverk som kan presenteras i en hierarkisk struktur för företag, enheter och länder, vilket möjliggör för företag att enkelt relatera och förstå de specifika åtaganden som måste vidtas för att uppfylla alla krav på lagstiftning, efterlevnad och standard.
  • Samordnad informationshantering: Upprätta standardiserade processer för att upptäcka, klassificera och segregera all befintlig information baserad på krav utställda av lokala tillsynsmyndigheter. Därefter – implementera en zero-trust-arkitektur som prioriterar en nätverkscentrerad datasäkerhetsstrategi, vilket begränsar åtkomst till data baserat på affärsbehov. Med lösningar såsom attributbaserad åtkomstkontroll, där tillstånd för åtkomst till känslig information beviljas baserat på ämnes-, miljö-, resurs- och åtgärdsattribut, kan företag uppnå en auktoriseringsmodell som är dynamisk, innehållsmedveten och riskintelligent.
  • Kontinuerlig efterlevnadsövervakning: Gå ifrån ett reaktivt tillvägagångssätt för efterlevnadshantering mot en mer proaktiv metod, vilken skiljer sig mycket från att endast utföra granskningar med jämna mellanrum. Genom realtidsövervakning av åtkomstkontroll, policybaserad verkställighet av IT-tillgångar, brandväggsadministration, applikationsstyrning och mer, samt genom att kontinuerligt jämföra prestanda med efterlevnadskrav, så kan företag avslöja de operativa eller tekniska luckor som omedelbart behöver åtgärdas. Vidare måste företag garantera “säkerhet och compliance-by-design” och fundera på funktioner för att t ex undersöka exportkontroll vid tidpunkten för utformningen av den digitala resan.
  • Blockchain för förbättrad efterlevnad:

Säkerställ framtidsberedskapen genom att göra strategiska investeringar i nästa generations möjliggörare, såsom t ex distribuerad ledgerteknik (DLT), som ger större öppenhet, förbättrad säkerhet och smidigare spårbarhet. På exportkontrollområdet, med mycket stora registreringskrav, är blockkedjan en naturlig lösning. Blockkedjan kommer att effektivisera processen för registrering av export- och återexportdokumentation, fraktdokument och fakturor, vilket möjliggör snabb och kostnadseffektiv spårning och hämtning av dokument. Sådana digitala arkiv skulle också förhindra riskerna för mänskliga misstag och obehörig åtkomst, vilket annars kan leda till allvarliga efterlevnadsöverträdelser.

Med en synkroniserad, välplanerad transformationsplan med fokus på centralisering, standardisering, effektivisering och transparens kan flyg- och försvarsföretag uppnå överlägsen lag- och regelefterlevnad, eliminera risken med cybersäkerhet och skapa konkurrensfördelar.

Av: Abhishek Ramavat, GM och Practice Lead EMEA – GRC, HCL Technologies.