Εννέα από τους 13 ασφαλιστικούς φορείς που παρακολουθούμε δεν θα συντάξουν συμβόλαιο εκτός εάν έχετε MFA. Το ίδιο και με το CMMC 2.0 — και ένα Σχέδιο Δράσης και Ορόσημα (POA&M) δεν θα γίνει αποδεκτό εάν δεν έχετε τα βασικά, όπως εκπαίδευση ευαισθητοποίησης MFA, προστασίας από ιούς και ασφάλειας. – Foster Charles, Ιδρυτής & Διευθύνων Σύμβουλος, Charles IT
Middletown, Conn. (PRWEB) Μαρτίου 27, 2023
Το Υπουργείο Άμυνας (DoD) ανακοίνωσε τη νέα πιστοποίηση μοντέλου ωριμότητας για την κυβερνοασφάλεια, CMMC 2.0, τον Νοέμβριο του 2021. Η αλλαγή ήρθε αφού διαπιστώθηκε ότι το αρχικό μοντέλο CMMC 1.0 ήταν πολύ δυσκίνητο και μπερδεμένο για τους εργολάβους. Η πρόθεση, ωστόσο, παραμένει η ίδια: να διασφαλιστεί ότι οι εργολάβοι της Defense Industrial Base (DIB) διαθέτουν τα κατάλληλα μέτρα και διαδικασίες για την προστασία ευαίσθητων πληροφοριών, συμπεριλαμβανομένων ελεγχόμενων μη διαβαθμισμένων πληροφοριών (CUI) και πληροφοριών ομοσπονδιακών συμβάσεων (FCI).
Αυτό που είναι σημαντικό να κατανοήσουμε είναι ότι το CMMC 2.0 δεν είναι στην πραγματικότητα τίποτα καινούργιο. Οι απαιτήσεις βασίζονται στο Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) SP 800-171 και ευθυγραμμίζονται άμεσα με το Συμπλήρωμα Κανονισμού Ομοσπονδιακής Απόκτησης Άμυνας (DFARS), το οποίο απαιτείται εδώ και αρκετό καιρό.
Αυτό που έχει σημασία είναι πόσο αυστηρά εφαρμόζετε αυτές τις βέλτιστες πρακτικές για την ασφάλεια πληροφορικής, καθώς οι νέοι κανονισμοί θα εφαρμοστούν σθεναρά το 2023. Για να είναι επιτυχημένοι, οι εργολάβοι πρέπει να αλλάξουν την προσέγγισή τους ως προς τη συμμόρφωση διαφορετικά κινδυνεύουν να χάσουν κερδοφόρα συμβόλαια ή να επιβληθούν υψηλά πρόστιμα.
Αλλαγές υψηλού επιπέδου στο CMMC 2.0
Το CMMC 1.0 είχε ως στόχο να συγκεντρώσει διάφορες απαιτήσεις ασφαλείας σε ένα ενιαίο πρότυπο συμμόρφωσης για την ομοσπονδιακή κυβέρνηση. Ενώ η πρόθεση ήταν καλή, οι κανόνες ήταν πολύ περίπλοκοι. Το CMMC 2.0 είναι μια απλοποίηση του CMMC 1.0 — καθιστώντας πολύ πιο εύκολο για τους εργολάβους DIB να επιτύχουν συμμόρφωση προκειμένου να βελτιώσουν την ομοσπονδιακή αμυντική ασφάλεια.
Το πρώτο επίπεδο απαιτεί μια αυτοαξιολόγηση 17 βέλτιστων πρακτικών, παρόμοιες με το πλαίσιο ασφάλειας στον κυβερνοχώρο (CSF) του NIST. Το επίπεδο δύο ευθυγραμμίζεται με το NIST SP 800-171 και απαιτεί πιστοποίηση από έναν οργανισμό αξιολόγησης τρίτου μέρους CMMC (C3PAO). Τέλος, οι εργολάβοι DIB που χειρίζονται άκρως απόρρητες πληροφορίες πρέπει να επιτύχουν συμμόρφωση στο τρίτο επίπεδο με βάση το NIST 800-172.
Το CMMC 2.0 καταργεί τις απαιτήσεις που δεν περιλαμβάνονται στο NIST SP 800-171 για να καταστήσει πιο πρακτική την επίτευξη και την επιβολή συμμόρφωσης. Καλύπτει επίσης τους υπεργολάβους της DIB για να διασφαλίσει την ασφάλεια σε ολόκληρη την αλυσίδα εφοδιασμού, καθώς οι πιο κακόβουλοι παράγοντες στοχεύουν μικρότερες εταιρείες που συμβάλλουν με κολοσσούς του κλάδου (π.χ. Lockheed Martin). «Οι χάκερ μπορεί να πάρουν μόνο ένα κομμάτι CUI από έναν προμηθευτή. Αλλά αν στοιβάζουν ένα σωρό από αυτά μαζί, μπορούν να πάρουν μια μάλλον πλήρη εικόνα - έτσι διαρρέουν τα μυστικά. Το CMMC 2.0 έχει να κάνει με την εξασφάλιση κρατικών μυστικών», λέει ο Charles.
Ο κυβερνοπόλεμος είναι η τελευταία ανησυχία και για καλούς λόγους. Για παράδειγμα, οι φορείς απειλών μπορούν να εξαπολύσουν μια κυβερνοεπίθεση σε υποδομές (π.χ. την επίθεση του Colonial Pipeline), στη συνέχεια να επωφεληθούν από τον εκτεταμένο χρόνο διακοπής λειτουργίας για να εξαπολύσουν μια πιο καταστροφική φυσική επίθεση — η οποία θα μπορούσε να σταματήσει ολόκληρο το έθνος.
Ποια είναι η βασική λύση αυτών των αλλαγών και τι πρέπει να γνωρίζετε κατά την ενημέρωση των διαδικασιών σας;
Ένας βασικός στόχος του CMMC 2.0 είναι να φέρει σαφήνεια και να αφαιρέσει την πολυπλοκότητα. Για παράδειγμα, απαιτεί πιστοποίηση τρίτου μέρους κάθε τρία χρόνια (αντί για ετήσια αξιολόγηση) για τη συμμόρφωση των επιπέδων δύο και τρίτου.
Επιπλέον, οι διαδικασίες είναι πιο κατανοητές, επομένως η εστίασή σας μπορεί να είναι στην ενημέρωση της στάσης ασφαλείας σας.
Πώς το CMMC 2.0 ωφελεί τους εργολάβους DIB
Το CMMC 2.0 επιτρέπει την καλύτερη προστασία του CUI για την αποφυγή διαρροών δεδομένων και κατασκοπείας. Ενισχύει την εθνική ασφάλεια και συμβάλλει στην προστασία από επιθέσεις στην αλυσίδα εφοδιασμού ή κρατικές χορηγίες. Ωστόσο, κατανοήστε ότι ωφελεί επίσης τους εργολάβους της DIB στις δραστηριότητές τους: «Η μεταποιητική βιομηχανία είναι πολύ πίσω σε θέματα πληροφορικής και ασφάλειας. Οι εταιρείες εξακολουθούν να εκτελούν πολλές διαδικασίες με μη αυτόματο τρόπο, κάτι που είναι πολύ ανασφαλές. Η κακή τους υγιεινή ασφάλειας πληροφορικής συχνά οδηγεί σε δαπανηρά ransomware και άλλες επιθέσεις. Το CMMC 2.0 αναγκάζει αυτούς τους εργολάβους να δημιουργήσουν καλές επιχειρηματικές συνήθειες που είναι τελικά καλές για τους οργανισμούς τους», λέει ο Charles.
Η σκέψη ενός ακόμη κανονισμού μπορεί να είναι τρομακτική. Τα καλά νέα είναι ότι το ήμισυ του CMMC 2.0 βρίσκεται ήδη στο NIST SP 800-171 — περιγράφοντας λεπτομερώς τις πρακτικές κυβερνοασφάλειας που πρέπει ήδη να ακολουθούν οι ανάδοχοι της DIB, π.χ. χρήση λογισμικού προστασίας από ιούς, εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και χαρτογράφηση και επισήμανση όλων των CUI .
Ουσιαστικά, οι εταιρείες δεν μπορούν καν να λάβουν ασφαλιστική κάλυψη για την ασφάλεια στον κυβερνοχώρο χωρίς να εφαρμόσουν πολλά από τα μέτρα που περιγράφονται στο CMMC 2.0. «Εννέα από τους 13 ασφαλιστικούς φορείς που παρακολουθούμε δεν θα συντάξουν συμβόλαιο εάν δεν έχετε MFA. Το ίδιο και με το CMMC 2.0 — και ένα Σχέδιο Δράσης και Ορόσημα (POA&M) δεν θα γίνει δεκτό εάν δεν έχετε τα βασικά, όπως εκπαίδευση ευαισθητοποίησης MFA, προστασίας από ιούς και ασφάλειας», λέει ο Charles.
Το CMMC 2.0 είναι ένα απαραίτητο βήμα προς τα εμπρός για ολόκληρη την αμυντική βιομηχανία για να ανέβει στην ταχύτητα από τεχνολογική άποψη.
Γιατί είναι το κλειδί να αλλάξετε την προσέγγισή σας
Όπως αναφέρθηκε, η πιο κοινή παρανόηση σχετικά με το CMMC 2.0 είναι ότι είναι ένα νέο πρότυπο συμμόρφωσης ενώ, στην πραγματικότητα, δεν είναι.
Η άλλη κρίσιμη παρανόηση είναι ότι πολλοί εργολάβοι υποθέτουν ότι μπορούν να περιμένουν έως ότου εγκριθεί η απόφαση CMMC 2.0 πριν αναλάβουν δράση. Πολλοί εργολάβοι υποτιμούν πόσο χρόνο θα χρειαστεί για να αξιολογήσουν τη στάση ασφαλείας τους, να εφαρμόσουν ενέργειες αποκατάστασης και να λάβουν την αξιολόγησή τους από τρίτους. Μερικοί επίσης εκτιμούν εσφαλμένα πόσο τεχνικά υστερούν τα συστήματα και οι διαδικασίες τους και η επένδυση που απαιτείται για την επίτευξη συμμόρφωσης. Είναι επίσης σημαντικό να θυμάστε ότι η τήρηση αυτών των προτύπων απαιτεί συντονισμό με τους προμηθευτές, ο οποίος μπορεί να πάρει χρόνο για να ολοκληρωθεί. «Πολλοί εργολάβοι παραβλέπουν την πολυπλοκότητα των αλυσίδων εφοδιασμού τους και τον αριθμό των τρίτων προμηθευτών που χρησιμοποιούν. Για παράδειγμα, μπορεί να ανακαλύψετε ότι ορισμένοι προμηθευτές εξακολουθούν να χρησιμοποιούν τα Windows 7 και να αρνούνται την αναβάθμιση. Έτσι, θα μπορούσατε να βρεθείτε σε ένα τουρσί εάν οι πωλητές σας δεν συμμορφώνονται και πρέπει να περιμένετε να αναβαθμίσουν την τεχνολογία τους», λέει ο Charles.
Υπάρχουν επίσης ζητήματα με τη συμμόρφωση με το cloud, επισημαίνει ο Charles. Πολλοί εργολάβοι επίσης δεν συνειδητοποιούν ότι δεν μπορούν να επεξεργαστούν το CUI σε οποιοδήποτε σύννεφο — η πλατφόρμα σας πρέπει να βρίσκεται σε ένα μέσο Fedram ή ένα υψηλό σύννεφο Fedram. Για παράδειγμα, αντί για το Office 365, πρέπει να χρησιμοποιήσετε το Microsoft 365 Government Community Cloud High (GCC High).
Πώς να προετοιμαστείτε για το CMMC 2.0
Ξεκινήστε την προετοιμασία το συντομότερο δυνατό, αν δεν το έχετε κάνει ήδη και περιμένετε ότι η διαδικασία θα διαρκέσει ένα ή δύο χρόνια. Το CMMC 2.0 πιθανότατα θα τεθεί σε ισχύ το 2023 και μόλις συμβεί, θα εμφανιστεί σε όλα τα συμβόλαια εντός 60 ημερών. Δεν έχετε την πολυτέλεια να περιμένετε μέχρι την τελευταία στιγμή.
Με άλλα λόγια, οι εργολάβοι θα επωφεληθούν από την αίσθηση του επείγοντος. «Η επίτευξη συμμόρφωσης με μία κίνηση μπορεί να είναι ένα μεγάλο σοκ για έναν οργανισμό και τις καθημερινές επιχειρηματικές του διαδικασίες. Συνιστώ τη διεξαγωγή αξιολόγησης και τον σχεδιασμό ενός πολυετούς οδικού χάρτη», λέει ο Charles. Αυτό το σχέδιο θα πρέπει να απαντά σε ερωτήσεις όπως: Ποια μηχανήματα/υλικό πρέπει να αντικαταστήσετε; Ποιοι τρίτοι προμηθευτές απαιτούν αναβαθμίσεις; Έχουν σχέδια να το κάνουν τα επόμενα τρία χρόνια;»
Η υποβολή ενός σχεδίου ασφάλειας συστήματος (SSP) είναι απαραίτητη για τη συμμόρφωση με το CMMC 2.0. Το SSP είναι επίσης ένα ουσιαστικό έγγραφο που α πάροχος διαχειριζόμενων υπηρεσιών (MSP) μπορεί να χρησιμοποιηθεί για να βοηθήσει την εταιρεία σας με τη συμμόρφωση. Το φύλλο αποτελεσμάτων περιγράφει τις απαιτήσεις ασφαλείας της CMMC και σας βοηθά να αποκτήσετε μια επισκόπηση των αναβαθμίσεων που χρειάζεστε. «Το πρώτο πράγμα που συνήθως ρωτάω είναι «ξέρεις τη βαθμολογία σου στο SSP;», λέει ο Τσαρλς. Άλλες εταιρείες μπορεί να μην είναι τόσο μακριά. Σε αυτήν την περίπτωση, η Charles IT μπορεί να πραγματοποιήσει μια αξιολόγηση κενού ή κινδύνου για τους πελάτες μας ως πρώτο βήμα για τη σύνταξη ενός SSP και ενός σχεδίου δράσης και ορόσημων (POA&M). «Το λέμε αξιολόγηση του κενού. Πρέπει να ξέρουμε πόσο βαθύ είναι το νερό και μετά θα το εντοπίσουμε και θα τους βοηθήσουμε να γράψουν ένα SSP», συμβουλεύει ο Charles.
Εάν έχετε μια σχετικά ώριμη στάση ασφαλείας και ακολουθείτε τις πιο πρόσφατες βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο, η επίτευξη συμμόρφωσης με το CMMC 2.0 θα χρειαστεί περίπου έξι έως εννέα μήνες. Εάν όχι, θα μπορούσατε να δείτε ένα χρονοδιάγραμμα 18 μηνών. Και πάλι, μην περιμένετε μέχρι να έρθει στο τραπέζι ένα συμβόλαιο — ξεκινήστε τώρα για να αποφύγετε την απώλεια επιχειρήσεων.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://www.prweb.com/releases/2023/3/prweb19246469.htm
- :είναι
- $UP
- 1
- 2021
- 2023
- 7
- a
- Σχετικα
- Κατορθώνω
- την επίτευξη
- απόκτηση
- απέναντι
- Ενέργειες
- ενεργειών
- φορείς
- πραγματικά
- Πλεονέκτημα
- Μετά το
- κατά
- ευθυγραμμισμένος
- Ευθυγραμμίζει
- Όλα
- ήδη
- Εν μέσω
- και
- ανακοίνωσε
- ετήσιος
- Άλλος
- απάντηση
- προστασίας από ιούς
- εμφανίζομαι
- πλησιάζω
- κατάλληλος
- εγκεκριμένη
- ΕΙΝΑΙ
- γύρω
- AS
- εκτίμηση
- βοηθήσει
- At
- επίθεση
- Επιθέσεις
- Πιστοποίηση
- επίγνωση
- βάση
- βασίζονται
- Βασικά
- BE
- πριν
- πίσω
- όφελος
- οφέλη
- ΚΑΛΎΤΕΡΟΣ
- βέλτιστες πρακτικές
- Καλύτερα
- φέρω
- τσαμπί
- επιχείρηση
- επιχειρήσεις
- κλήση
- CAN
- Μπορεί να πάρει
- μεταφορείς
- περίπτωση
- Διευθύνων Σύμβουλος
- Πιστοποίηση
- αλυσίδα
- αλυσίδες
- αλλαγή
- Αλλαγές
- αλλαγή
- Κάρολος
- σαφήνεια
- πελάτες
- Backup
- Κοινός
- κοινότητα
- Εταιρείες
- εταίρα
- πλήρης
- περίπλοκο
- Συμμόρφωση
- υποχωρητικός
- περίπλοκος
- Ανησυχία
- Διεξαγωγή
- Διεξαγωγή
- σύγχυση
- σύμβαση
- εργολάβοι
- συμβάσεις
- ελέγχεται
- συντονισμός
- θα μπορούσε να
- κάλυψη
- Καλύμματα
- κρίσιμος
- Ηλεκτρονική επίθεση
- Κυβερνασφάλεια
- ημερομηνία
- Ημερομηνία
- από μέρα σε μέρα
- Ημ.
- βαθύς
- Άμυνα
- Τμήμα
- Υπουργείο Άμυνας
- σχέδιο
- Λεπτομέρεια
- αποφασισμένος
- καταστροφικές
- κατευθείαν
- ανακαλύπτουν
- έγγραφο
- downtime
- e
- ευκολότερη
- αποτέλεσμα
- δίνει τη δυνατότητα
- επιβολή
- εξασφαλίζω
- Ολόκληρος
- κατασκοπεία
- ουσιώδης
- εγκαθιδρύω
- αξιολογήσει
- Even
- Κάθε
- παράδειγμα
- αναμένω
- Ομοσπονδιακός
- Ομοσπονδιακή κυβέρνηση
- λίγοι
- Εύρεση
- τέλος
- σταθερά
- Όνομα
- Συγκέντρωση
- ακολουθήστε
- Εξής
- Για
- Δυνάμεις
- Προς τα εμπρός
- Προώθηση
- ιδρυτής
- Πλαίσιο
- από
- Κέρδος
- χάσμα
- GCC
- παίρνω
- να πάρει
- Go
- καλός
- Κυβέρνηση
- χάκερ
- Ήμισυ
- λαβή
- Έχω
- βοήθεια
- βοηθά
- Ψηλά
- Πως
- Ωστόσο
- HTTPS
- i
- εικόνα
- εφαρμογή
- εκτελεστικών
- σημαντικό
- βελτίωση
- in
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- βιομηχανικές
- βιομηχανία
- πληροφορίες
- Υποδομή
- παράδειγμα
- αντί
- Ινστιτούτο
- ασφάλιση
- πρόθεση
- Πρόθεση
- εκφοβιστικό
- επένδυση
- θέματα
- IT
- την ασφάλεια
- ΤΟΥ
- μόνο ένα
- Κλειδί
- Ξέρω
- τιτλοφόρηση
- Επίθετο
- αργότερο
- ξεκινήσει
- Οδηγεί
- Διαρροές
- Επίπεδο
- επίπεδα
- Πιθανός
- Lockheed Martin
- κοιτάζοντας
- να χάσει
- επικερδής
- μεγάλες
- κάνω
- Κατασκευή
- χειροκίνητα
- κατασκευής
- μεταποιητική βιομηχανία
- πολοί
- χαρτης
- Μάρτιν
- Θέματα
- ώριμος
- ωριμότητα
- Μοντέλο ωριμότητας
- μέτρα
- medium
- συνάντηση
- που αναφέρθηκαν
- ΣΠΙ
- Microsoft
- Ορόσημα
- λεπτό
- μοντέλο
- μήνες
- περισσότερο
- πλέον
- πολυετούς διάρκειας
- έθνος
- εθνικός
- Εθνική ασφάλεια
- απαραίτητος
- Ανάγκη
- Νέα
- νέα
- επόμενη
- nist
- Νοέμβριος
- Νοέμβριος 2021
- αριθμός
- σκοπός
- of
- Office
- on
- ONE
- λειτουργίες
- τάξη
- επιχειρήσεις
- οργανώσεις
- πρωτότυπο
- ΑΛΛΑ
- σκιαγραφείται
- περιγράφει
- επισκόπηση
- κόμμα
- προοπτική
- φυσικός
- εικόνα
- κομμάτι
- αγωγού
- σχέδιο
- φώναξε
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σημεία
- πολιτική
- φτωχός
- Πρακτικός
- πρακτικές
- Προετοιμάστε
- προετοιμασία
- πρόληψη
- διαδικασίες
- διαδικασια μας
- Διεργασίες
- προστασία
- προστασία
- προμηθευτής
- Ερωτήσεις
- ransomware
- μάλλον
- συνειδητοποιήσουν
- λόγους
- συνιστώ
- Ρυθμιστικές Αρχές
- κανονισμοί
- σχετικά
- λείψανα
- θυμάμαι
- αφαιρέστε
- αντικαθιστώ
- απαιτούν
- απαιτείται
- απαιτήσεις
- Απαιτεί
- Κίνδυνος
- εκτίμηση του κινδύνου
- οδικός χάρτης
- κανόνες
- απόφαση
- τρέξιμο
- s
- ίδιο
- λέει
- σκορ
- ασφάλεια
- ασφάλεια
- Ενημέρωση ασφαλείας
- αίσθηση
- ευαίσθητος
- υπηρεσία
- Πάροχος υπηρεσιών
- θα πρέπει να
- παρόμοιες
- ενιαίας
- ΕΞΙ
- μικρότερος
- So
- λογισμικό
- μερικοί
- ταχύτητα
- σωρός
- πρότυπο
- πρότυπα
- ξεκίνησε
- Κατάσταση
- Βήμα
- Ακόμη
- Ενισχύει
- επιτυχής
- τέτοιος
- προμηθευτές
- προμήθεια
- αλυσίδας εφοδιασμού
- Αλυσίδες εφοδιασμού
- σύστημα
- συστήματα
- τραπέζι
- Πάρτε
- λήψη
- συνομιλίες
- στόχος
- Τεχνολογία
- ότι
- Η
- Τα Βασικά
- τους
- Τους
- Αυτοί
- πράγμα
- Τρίτος
- τρίτους
- σκέψη
- απειλή
- απειλή
- τρία
- ώρα
- χρονοδιάγραμμα
- προς την
- μαζι
- πολύ
- τροχιά
- Εκπαίδευση
- τελικά
- καταλαβαίνω
- ενημέρωση
- αναβάθμισης
- αναβαθμίσεις
- επείγον
- χρήση
- συνήθως
- διάφορα
- πωλητές
- περιμένετε
- Νερό
- Τι
- Ποιό
- ενώ
- θα
- παράθυρα
- με
- εντός
- χωρίς
- Κέρδισε
- λόγια
- γράφω
- γραφή
- έτος
- χρόνια
- Εσείς
- Σας
- τον εαυτό σας
- zephyrnet