Charles IT-Gründer Foster Charles spricht über CMMC 2.0 inmitten der DoD-Regelsetzung

Neuauflage von Plato

Verfolger: 0

Neun von 13 Versicherungsträgern, die wir verfolgen, schreiben keine Police, es sei denn, Sie haben MFA. Dasselbe gilt für CMMC 2.0 – und ein Aktionsplan und Meilensteine (POA&M) werden nicht akzeptiert, wenn Sie nicht über die Grundlagen wie MFA, Antivirus und Sicherheitsbewusstseinstraining verfügen. – Foster Charles, Gründer und CEO, Charles IT

MIDDLETOWN, Anschl. (PRWEB) 27. März 2023

Das Verteidigungsministerium (DoD) hat die neue Cybersecurity Maturity Model-Zertifizierung angekündigt, CMMC 2.0, im November 2021. Die Änderung erfolgte, nachdem festgestellt wurde, dass das ursprüngliche CMMC 1.0-Modell für Auftragnehmer zu umständlich und verwirrend war. Die Absicht bleibt jedoch die gleiche: sicherzustellen, dass die Auftragnehmer der Defense Industrial Base (DIB) über geeignete Maßnahmen und Verfahren verfügen, um sensible Informationen zu schützen, einschließlich kontrollierter, nicht klassifizierter Informationen (CUI) und Bundesvertragsinformationen (FCI).

Es ist wichtig zu verstehen, dass CMMC 2.0 eigentlich nichts Neues ist. Die Anforderungen basieren auf dem National Institute of Standards and Technology (NIST) SP 800-171 und richten sich direkt nach dem seit einiger Zeit geforderten Supplement der Defense Federal Acquisition Regulation (DFARS).

Entscheidend ist, wie strikt Sie diese Best Practices für die IT-Sicherheit umsetzen, da die neuen Vorschriften 2023 konsequent durchgesetzt werden. Um erfolgreich zu sein, müssen Auftragnehmer ihren Compliance-Ansatz ändern oder riskieren, lukrative Verträge zu verlieren oder hohe Bußgelder zu zahlen.

Änderungen auf hoher Ebene in CMMC 2.0

CMMC 1.0 zielte darauf ab, verschiedene Sicherheitsanforderungen in einem einzigen Compliance-Standard für die Bundesregierung zusammenzufassen. Obwohl die Absicht gut war, waren die Regeln sehr kompliziert. CMMC 2.0 ist eine Vereinfachung von CMMC 1.0 – was es für DIB-Auftragnehmer viel einfacher macht, Compliance zu erreichen, um die Verteidigungssicherheit des Bundes zu verbessern.

Stufe eins erfordert eine Selbsteinschätzung von 17 Best Practices ähnlich dem Cybersecurity Framework (CSF) von NIST. Level zwei entspricht NIST SP 800-171 und erfordert eine Zertifizierung durch eine CMMC Third Party Assessment Organization (C3PAO). Schließlich müssen DIB-Auftragnehmer, die mit streng geheimen Informationen umgehen, die Einhaltung der Stufe 800 gemäß NIST 172-XNUMX erreichen.

CMMC 2.0 entfernt Anforderungen, die nicht in NIST SP 800-171 enthalten sind, um das Erreichen und Durchsetzen von Compliance praktischer zu gestalten. Es deckt auch DIB-Subunternehmer ab, um die Sicherheit in der gesamten Lieferkette zu gewährleisten, da immer mehr böswillige Akteure auf kleinere Unternehmen abzielen, die Verträge mit Branchenriesen (z. B. Lockheed Martin) abschließen. „Hacker erhalten möglicherweise nur ein Stück CUI von einem Lieferanten. Aber wenn sie ein paar davon zusammenstapeln, können sie sich ein ziemlich vollständiges Bild machen – so werden Geheimnisse preisgegeben. Bei CMMC 2.0 geht es um die Sicherung von Staatsgeheimnissen“, sagt Charles.

Cyber-Kriegsführung ist das neueste Anliegen, und das aus guten Gründen. Beispielsweise können Bedrohungsakteure einen Cyberangriff auf die Infrastruktur starten (z. B. den Angriff auf die Colonial Pipeline) und dann die verlängerte Ausfallzeit nutzen, um einen verheerenderen physischen Angriff zu starten – der die gesamte Nation zum Erliegen bringen könnte.

Was sind die wichtigsten Erkenntnisse aus diesen Änderungen, und was müssen Sie wissen, wenn Sie Ihre Prozesse aktualisieren?

Ein Hauptziel von CMMC 2.0 ist es, Klarheit zu schaffen und Komplexität zu beseitigen. Beispielsweise ist für die Einhaltung der Stufen zwei und drei alle drei Jahre (anstelle einer jährlichen Bewertung) eine Zertifizierung durch einen Dritten erforderlich.

Darüber hinaus sind die Verfahren leichter verständlich, sodass Sie sich darauf konzentrieren können, Ihre Sicherheitslage auf den neuesten Stand zu bringen.

Vorteile von CMMC 2.0 für DIB-Auftragnehmer

CMMC 2.0 ermöglicht einen besseren Schutz von CUI, um Datenlecks und Spionage zu verhindern. Es stärkt die nationale Sicherheit und trägt zum Schutz vor Angriffen in der Lieferkette oder staatlich geförderten Angriffen bei. Beachten Sie jedoch, dass dies auch DIB-Auftragnehmern in ihrem Betrieb zugute kommt: „Die Fertigungsindustrie hinkt in den Bereichen IT und Sicherheit sehr weit hinterher. Unternehmen führen viele Prozesse immer noch manuell aus, was sehr unsicher ist. Ihre schlechte IT-Sicherheitshygiene führt oft zu kostspieliger Ransomware und anderen Angriffen. CMMC 2.0 zwingt diese Auftragnehmer dazu, gute Geschäftsgewohnheiten einzuführen, die letztendlich gut für ihre Organisationen sind“, sagt Charles.

Der Gedanke an eine weitere Verordnung mag einschüchternd sein. Die gute Nachricht ist, dass die Hälfte von CMMC 2.0 bereits in NIST SP 800-171 enthalten ist – detaillierte Cybersicherheitspraktiken, die DIB-Auftragnehmer bereits befolgen sollten, z .

Entscheidend ist, dass Unternehmen nicht einmal eine Cybersicherheitsversicherung abschließen können, ohne viele der in CMMC 2.0 beschriebenen Maßnahmen umzusetzen. „Neun von 13 Versicherungsträgern, die wir verfolgen, schreiben keine Police, es sei denn, Sie haben MFA. Dasselbe gilt für CMMC 2.0 – und ein Aktionsplan und Meilensteine (POA&M) werden nicht akzeptiert, wenn Sie nicht über die Grundlagen wie MFA, Virenschutz und Sicherheitsbewusstseinstraining verfügen“, sagt Charles.

CMMC 2.0 ist ein notwendiger Schritt nach vorne für die gesamte Verteidigungsindustrie, um aus technologischer Sicht auf den neuesten Stand zu kommen.

Warum es wichtig ist, Ihren Ansatz zu ändern

Wie bereits erwähnt, besteht das häufigste Missverständnis über CMMC 2.0 darin, dass es sich um einen neuen Compliance-Standard handelt, obwohl dies in Wirklichkeit keiner ist.

Das andere entscheidende Missverständnis ist, dass viele Auftragnehmer davon ausgehen, dass sie warten können, bis die CMMC 2.0-Entscheidung genehmigt ist, bevor sie Maßnahmen ergreifen. Viele Auftragnehmer unterschätzen, wie viel Zeit es dauern wird, ihre Sicherheitslage zu bewerten, Abhilfemaßnahmen zu implementieren und ihre Bewertung durch Dritte einzuholen. Einige schätzen auch den technischen Hintergrund ihrer Systeme und Prozesse und die Investitionen, die erforderlich sind, um Compliance zu erreichen, falsch ein. Es ist auch wichtig, daran zu denken, dass die Einhaltung dieser Standards eine Abstimmung mit den Anbietern erfordert, was einige Zeit in Anspruch nehmen kann. „Viele Auftragnehmer übersehen die Komplexität ihrer Lieferketten und die Anzahl der von ihnen eingesetzten Drittanbieter. Beispielsweise stellen Sie möglicherweise fest, dass einige Anbieter immer noch Windows 7 verwenden und ein Upgrade ablehnen. Sie könnten also in Schwierigkeiten geraten, wenn Ihre Anbieter nicht konform sind, und Sie müssen warten, bis sie ihre Technologie aktualisieren“, sagt Charles.

Es gibt auch Probleme mit der Cloud-Compliance, betont Charles. Viele Auftragnehmer wissen auch nicht, dass sie CUI in keiner Cloud verarbeiten können – Ihre Plattform muss auf einer Fedramp Medium oder Fedramp High Cloud sitzen. Anstelle von Office 365 müssen Sie beispielsweise Microsoft 365 Government Community Cloud High (GCC High) verwenden.

So bereiten Sie sich auf CMMC 2.0 vor

Beginnen Sie so bald wie möglich mit der Vorbereitung, falls Sie dies noch nicht getan haben, und rechnen Sie damit, dass der Prozess ein oder zwei Jahre dauern wird. CMMC 2.0 wird voraussichtlich im Jahr 2023 in Kraft treten, und sobald dies der Fall ist, wird es innerhalb von 60 Tagen auf allen Verträgen erscheinen. Sie können es sich nicht leisten, bis zur letzten Minute zu warten.

Mit anderen Worten, Auftragnehmer profitieren von einem Gefühl der Dringlichkeit. „Das Erreichen von Compliance auf einen Schlag kann ein großer Schock für ein Unternehmen und seine täglichen Geschäftsprozesse sein. Ich empfehle, eine Bewertung durchzuführen und eine mehrjährige Roadmap zu entwerfen“, sagt Charles. Dieser Plan sollte Fragen beantworten wie: Welche Maschinen/Hardware müssen Sie ersetzen? Welche Drittanbieter benötigen Upgrades? Haben sie Pläne, dies in den nächsten drei Jahren zu tun?“

Das Einreichen eines Systemsicherheitsplans (SSP) ist für die Einhaltung von CMMC 2.0 unerlässlich. Das SSP ist auch ein wesentliches Dokument, das a Managed-Service-Provider (MSP) kann Ihr Unternehmen bei der Einhaltung von Vorschriften unterstützen. Das Scoresheet umreißt die Sicherheitsanforderungen von CMMC und hilft Ihnen, sich einen Überblick über die von Ihnen benötigten Upgrades zu verschaffen. „Das Erste, was ich normalerweise frage, ist: ‚Kennen Sie Ihren SSP-Wert?'“, sagt Charles. Andere Unternehmen sind vielleicht noch nicht so weit. In diesem Fall kann Charles IT als ersten Schritt zum Schreiben eines SSP und eines Aktionsplans und Meilensteinen (POA&M) eine Lücken- oder Risikobewertung für unsere Kunden durchführen. "Wir nennen es eine Lückenbewertung. Wir müssen wissen, wie tief das Wasser ist, und dann werden wir es lokalisieren und ihnen helfen, ein SSP zu schreiben“, rät Charles.

Wenn Sie über eine relativ ausgereifte Sicherheitslage verfügen und die neuesten Best Practices für Cybersicherheit befolgen, sollte das Erreichen der CMMC 2.0-Konformität etwa sechs bis neun Monate dauern. Wenn nicht, könnten Sie sich einen 18-Monats-Zeitplan ansehen. Warten Sie auch hier nicht, bis ein Vertrag auf dem Tisch liegt – fangen Sie jetzt an, um den Verlust von Unternehmen zu vermeiden.