Charles IT-grundlægger, Foster Charles, Talks CMMC 2.0 Midt i DoD-regeludformningen

Genudgivet af Platon

Abonnenter: 0

Ni ud af 13 forsikringsselskaber, vi sporer, vil ikke skrive en police, medmindre du har MFA. Det samme med CMMC 2.0 — og en handlingsplan og milepæle (POA&M) vil ikke blive accepteret, hvis du ikke har det grundlæggende, såsom MFA, antivirus og træning i sikkerhedsbevidsthed. – Foster Charles, grundlægger og administrerende direktør, Charles IT

MIDDLETOWN, Connecticut (PRWEB) Marts 27, 2023

Department of Defense (DoD) annoncerede den nye Cybersecurity Maturity Model Certification, CMMC 2.0, i november 2021. Ændringen kom efter, at det blev fastslået, at den originale CMMC 1.0-model var for besværlig og forvirrende for entreprenører. Hensigten forbliver dog den samme: at sikre, at Defence Industrial Base (DIB) entreprenører har de passende foranstaltninger og procedurer til at beskytte følsomme oplysninger, herunder kontrollerede uklassificerede oplysninger (CUI) og føderale kontraktoplysninger (FCI).

Det, der er vigtigt at forstå, er, at CMMC 2.0 faktisk ikke er noget nyt. Kravene er baseret på The National Institute of Standards and Technology (NIST) SP 800-171 og er direkte på linje med Defence Federal Acquisition Regulation Supplement (DFARS), som har været påkrævet i nogen tid nu.

Det, der betyder noget, er, hvor strengt du implementerer disse bedste praksisser for it-sikkerhed, da de nye regler vil blive håndhævet stramt i 2023. For at få succes, skal entreprenører ændre deres tilgang til overholdelse eller risikere at miste lukrative kontrakter eller pådrage sig store bøder.

Ændringer på højt niveau i CMMC 2.0

CMMC 1.0 havde til formål at samle forskellige sikkerhedskrav til en enkelt overholdelsesstandard for den føderale regering. Selvom hensigten var god, var reglerne meget komplicerede. CMMC 2.0 er en forenkling af CMMC 1.0 — hvilket gør det meget lettere for DIB-entreprenører at opnå overholdelse for at forbedre den føderale forsvarssikkerhed.

Niveau et kræver en selvevaluering af 17 bedste praksis svarende til NISTs cybersikkerhedsramme (CSF). Niveau to stemmer overens med NIST SP 800-171 og kræver certificering fra en CMMC Third Party Assessment Organization (C3PAO). Endelig skal DIB-entreprenører, der håndterer tophemmelige oplysninger, opnå niveau tre-overholdelse baseret på NIST 800-172.

CMMC 2.0 fjerner krav, der ikke er inkluderet i NIST SP 800-171 for at gøre det mere praktisk at opnå og håndhæve overholdelse. Det dækker også DIB-underleverandører for at sikre sikkerhed på tværs af hele forsyningskæden, da mere ondsindede aktører retter sig mod mindre virksomheder, der indgår kontrakter med industrigiganter (f.eks. Lockheed Martin). "Hackere får måske kun ét stykke CUI fra én leverandør. Men hvis de stabler en masse af dem sammen, kan de få et ret komplet billede - sådan bliver hemmeligheder lækket. CMMC 2.0 handler om at sikre statshemmeligheder,” siger Charles.

Cyberkrigsførelse er den seneste bekymring, og det er der gode grunde til. For eksempel kan trusselsaktører lancere et cyberangreb på infrastrukturen (f.eks. Colonial Pipeline-angrebet), og derefter drage fordel af den forlængede nedetid til at iværksætte et mere ødelæggende fysisk angreb - som kan stoppe hele nationen.

Hvad er det vigtigste ved disse ændringer, og hvad skal du vide, når du opdaterer dine processer?

Et centralt mål med CMMC 2.0 er at skabe klarhed og fjerne kompleksitet. For eksempel kræver det en tredjepartscertificering hvert tredje år (i stedet for en årlig vurdering) for niveau to og tre overholdelse.

Desuden er procedurerne nemmere at forstå, så dit fokus kan være på at få din sikkerhedsstilling opdateret.

Hvordan CMMC 2.0 gavner DIB Contractors

CMMC 2.0 muliggør bedre beskyttelse af CUI for at forhindre datalækage og spionage. Det styrker den nationale sikkerhed og hjælper med at beskytte mod forsyningskæden eller statssponsorerede angreb. Forstå dog, at det også gavner DIB entreprenører i deres drift: ”Fremstillingsindustrien er meget langt bagud inden for IT og sikkerhed. Virksomheder kører stadig mange processer manuelt, hvilket er meget usikkert. Deres dårlige it-sikkerhedshygiejne fører ofte til dyr ransomware og andre angreb. CMMC 2.0 tvinger disse entreprenører til at etablere gode forretningsvaner, der i sidste ende er gode for deres organisationer,” siger Charles.

Tanken om endnu en regulering kan være skræmmende. Den gode nyhed er, at halvdelen af CMMC 2.0 allerede er i NIST SP 800-171 – detaljeret cybersikkerhedspraksis, som DIB-leverandører allerede bør følge, f.eks. ved at bruge antivirussoftware, implementere multi-factor authentication (MFA) og kortlægge og mærke alle CUI .

Kritisk er det, at virksomheder ikke engang kan få cybersikkerhedsforsikringsdækning uden at implementere mange af de foranstaltninger, der er skitseret i CMMC 2.0. "Ni ud af 13 forsikringsselskaber, vi sporer, vil ikke skrive en police, medmindre du har MFA. Det samme med CMMC 2.0 — og en handlingsplan og milepæle (POA&M) vil ikke blive accepteret, hvis du ikke har det grundlæggende, såsom MFA, antivirus og uddannelse i sikkerhedsbevidsthed,” siger Charles.

CMMC 2.0 er et nødvendigt skridt fremad for, at hele forsvarsindustrien kan komme på farten fra et teknologisk perspektiv.

Hvorfor det er vigtigt at ændre din tilgang

Som nævnt er den mest almindelige misforståelse om CMMC 2.0, at det er en ny overholdelsesstandard, når den i virkeligheden ikke er det.

Den anden afgørende misforståelse er, at mange entreprenører antager, at de kan vente, indtil CMMC 2.0-dommen er godkendt, før de skrider til handling. Mange entreprenører undervurderer, hvor lang tid det vil tage at evaluere deres sikkerhedsstilling, implementere afhjælpningshandlinger og få deres tredjepartsvurdering. Nogle fejlvurderer også, hvor teknisk bag deres systemer og processer er, og den investering, der kræves for at opnå overholdelse. Det er også vigtigt at huske, at opfyldelse af disse standarder kræver koordinering med leverandører, hvilket kan tage tid at gennemføre. "Mange entreprenører overser kompleksiteten af deres forsyningskæder og antallet af tredjepartsleverandører, de bruger. For eksempel kan du opdage, at nogle få leverandører stadig bruger Windows 7 og nægter at opgradere. Så du kan finde dig selv i en pickle, hvis dine leverandører ikke er kompatible, og du er nødt til at vente på, at de opgraderer deres teknologi,” siger Charles.

Der er også problemer med cloud compliance, påpeger Charles. Mange entreprenører er heller ikke klar over, at de ikke kan behandle CUI på nogen sky – din platform skal sidde på en Fedramp medium eller Fedramp høj sky. For eksempel skal du i stedet for Office 365 bruge Microsoft 365 Government Community Cloud High (GCC High).

Sådan forbereder du dig til CMMC 2.0

Begynd at forberede dig så hurtigt som muligt, hvis du ikke allerede har gjort det, og forvent, at processen vil tage et år eller to. CMMC 2.0 vil sandsynligvis træde i kraft i 2023, og så snart det sker, vil det fremgå af alle kontrakter inden for 60 dage. Du har ikke råd til at vente til sidste øjeblik.

Med andre ord vil entreprenører nyde godt af en følelse af, at det haster. "At opnå overholdelse på én gang kan være et stort chok for en organisation og dens daglige forretningsprocesser. Jeg anbefaler at gennemføre en vurdering og designe en flerårig køreplan,” siger Charles. Denne plan skal besvare spørgsmål som: Hvilke maskiner/hardware skal du udskifte? Hvilke tredjepartsleverandører kræver opgraderinger? Har de planer om at gøre det inden for de næste tre år?”

Indsendelse af en systemsikkerhedsplan (SSP) er afgørende for overholdelse af CMMC 2.0. SSP er også et væsentligt dokument, som en managed service provider (MSP) kan bruge til at hjælpe din virksomhed med compliance. Scorearket skitserer CMMCs sikkerhedskrav og hjælper dig med at få et overblik over de opgraderinger, du har brug for. "Det første, jeg plejer at spørge, er, 'kender du din SSP-score?'," siger Charles. Andre virksomheder er måske ikke så langt fremme. I så fald kan Charles IT udføre en hul- eller risikovurdering for vores kunder som et første skridt til at skrive et SSP og en handlingsplan og milepæle (POA&M). "Vi kalder det en hulvurdering. Vi skal vide, hvor dybt vandet er, og så finder vi det ud og hjælper dem med at skrive en SSP,” råder Charles.

Hvis du har en relativt moden sikkerhedsposition og følger den seneste bedste praksis for cybersikkerhed, bør det tage omkring seks til ni måneder at opnå CMMC 2.0-overensstemmelse. Hvis ikke, kan du se på en 18-måneders tidslinje. Igen, vent ikke, indtil en kontrakt er på bordet – kom i gang nu for at undgå at miste virksomheder.