Charles IT Founder, Foster Charles, Talks CMMC 2.0 Amid DoD Rulemaking

Αναδημοσίευση από τον Πλάτωνα

Ακολουθούν: 0

Εννέα από τους 13 ασφαλιστικούς φορείς που παρακολουθούμε δεν θα συντάξουν συμβόλαιο εκτός εάν έχετε MFA. Το ίδιο και με το CMMC 2.0 — και ένα Σχέδιο Δράσης και Ορόσημα (POA&M) δεν θα γίνει αποδεκτό εάν δεν έχετε τα βασικά, όπως εκπαίδευση ευαισθητοποίησης MFA, προστασίας από ιούς και ασφάλειας. – Foster Charles, Ιδρυτής & Διευθύνων Σύμβουλος, Charles IT

Middletown, Conn. (PRWEB) Μαρτίου 27, 2023

Το Υπουργείο Άμυνας (DoD) ανακοίνωσε τη νέα πιστοποίηση μοντέλου ωριμότητας για την κυβερνοασφάλεια, CMMC 2.0, τον Νοέμβριο του 2021. Η αλλαγή ήρθε αφού διαπιστώθηκε ότι το αρχικό μοντέλο CMMC 1.0 ήταν πολύ δυσκίνητο και μπερδεμένο για τους εργολάβους. Η πρόθεση, ωστόσο, παραμένει η ίδια: να διασφαλιστεί ότι οι εργολάβοι της Defense Industrial Base (DIB) διαθέτουν τα κατάλληλα μέτρα και διαδικασίες για την προστασία ευαίσθητων πληροφοριών, συμπεριλαμβανομένων ελεγχόμενων μη διαβαθμισμένων πληροφοριών (CUI) και πληροφοριών ομοσπονδιακών συμβάσεων (FCI).

Αυτό που είναι σημαντικό να κατανοήσουμε είναι ότι το CMMC 2.0 δεν είναι στην πραγματικότητα τίποτα καινούργιο. Οι απαιτήσεις βασίζονται στο Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) SP 800-171 και ευθυγραμμίζονται άμεσα με το Συμπλήρωμα Κανονισμού Ομοσπονδιακής Απόκτησης Άμυνας (DFARS), το οποίο απαιτείται εδώ και αρκετό καιρό.

Αυτό που έχει σημασία είναι πόσο αυστηρά εφαρμόζετε αυτές τις βέλτιστες πρακτικές για την ασφάλεια πληροφορικής, καθώς οι νέοι κανονισμοί θα εφαρμοστούν σθεναρά το 2023. Για να είναι επιτυχημένοι, οι εργολάβοι πρέπει να αλλάξουν την προσέγγισή τους ως προς τη συμμόρφωση διαφορετικά κινδυνεύουν να χάσουν κερδοφόρα συμβόλαια ή να επιβληθούν υψηλά πρόστιμα.

Αλλαγές υψηλού επιπέδου στο CMMC 2.0

Το CMMC 1.0 είχε ως στόχο να συγκεντρώσει διάφορες απαιτήσεις ασφαλείας σε ένα ενιαίο πρότυπο συμμόρφωσης για την ομοσπονδιακή κυβέρνηση. Ενώ η πρόθεση ήταν καλή, οι κανόνες ήταν πολύ περίπλοκοι. Το CMMC 2.0 είναι μια απλοποίηση του CMMC 1.0 — καθιστώντας πολύ πιο εύκολο για τους εργολάβους DIB να επιτύχουν συμμόρφωση προκειμένου να βελτιώσουν την ομοσπονδιακή αμυντική ασφάλεια.

Το πρώτο επίπεδο απαιτεί μια αυτοαξιολόγηση 17 βέλτιστων πρακτικών, παρόμοιες με το πλαίσιο ασφάλειας στον κυβερνοχώρο (CSF) του NIST. Το επίπεδο δύο ευθυγραμμίζεται με το NIST SP 800-171 και απαιτεί πιστοποίηση από έναν οργανισμό αξιολόγησης τρίτου μέρους CMMC (C3PAO). Τέλος, οι εργολάβοι DIB που χειρίζονται άκρως απόρρητες πληροφορίες πρέπει να επιτύχουν συμμόρφωση στο τρίτο επίπεδο με βάση το NIST 800-172.

Το CMMC 2.0 καταργεί τις απαιτήσεις που δεν περιλαμβάνονται στο NIST SP 800-171 για να καταστήσει πιο πρακτική την επίτευξη και την επιβολή συμμόρφωσης. Καλύπτει επίσης τους υπεργολάβους της DIB για να διασφαλίσει την ασφάλεια σε ολόκληρη την αλυσίδα εφοδιασμού, καθώς οι πιο κακόβουλοι παράγοντες στοχεύουν μικρότερες εταιρείες που συμβάλλουν με κολοσσούς του κλάδου (π.χ. Lockheed Martin). «Οι χάκερ μπορεί να πάρουν μόνο ένα κομμάτι CUI από έναν προμηθευτή. Αλλά αν στοιβάζουν ένα σωρό από αυτά μαζί, μπορούν να πάρουν μια μάλλον πλήρη εικόνα - έτσι διαρρέουν τα μυστικά. Το CMMC 2.0 έχει να κάνει με την εξασφάλιση κρατικών μυστικών», λέει ο Charles.

Ο κυβερνοπόλεμος είναι η τελευταία ανησυχία και για καλούς λόγους. Για παράδειγμα, οι φορείς απειλών μπορούν να εξαπολύσουν μια κυβερνοεπίθεση σε υποδομές (π.χ. την επίθεση του Colonial Pipeline), στη συνέχεια να επωφεληθούν από τον εκτεταμένο χρόνο διακοπής λειτουργίας για να εξαπολύσουν μια πιο καταστροφική φυσική επίθεση — η οποία θα μπορούσε να σταματήσει ολόκληρο το έθνος.

Ποια είναι η βασική λύση αυτών των αλλαγών και τι πρέπει να γνωρίζετε κατά την ενημέρωση των διαδικασιών σας;

Ένας βασικός στόχος του CMMC 2.0 είναι να φέρει σαφήνεια και να αφαιρέσει την πολυπλοκότητα. Για παράδειγμα, απαιτεί πιστοποίηση τρίτου μέρους κάθε τρία χρόνια (αντί για ετήσια αξιολόγηση) για τη συμμόρφωση των επιπέδων δύο και τρίτου.

Επιπλέον, οι διαδικασίες είναι πιο κατανοητές, επομένως η εστίασή σας μπορεί να είναι στην ενημέρωση της στάσης ασφαλείας σας.

Πώς το CMMC 2.0 ωφελεί τους εργολάβους DIB

Το CMMC 2.0 επιτρέπει την καλύτερη προστασία του CUI για την αποφυγή διαρροών δεδομένων και κατασκοπείας. Ενισχύει την εθνική ασφάλεια και συμβάλλει στην προστασία από επιθέσεις στην αλυσίδα εφοδιασμού ή κρατικές χορηγίες. Ωστόσο, κατανοήστε ότι ωφελεί επίσης τους εργολάβους της DIB στις δραστηριότητές τους: «Η μεταποιητική βιομηχανία είναι πολύ πίσω σε θέματα πληροφορικής και ασφάλειας. Οι εταιρείες εξακολουθούν να εκτελούν πολλές διαδικασίες με μη αυτόματο τρόπο, κάτι που είναι πολύ ανασφαλές. Η κακή τους υγιεινή ασφάλειας πληροφορικής συχνά οδηγεί σε δαπανηρά ransomware και άλλες επιθέσεις. Το CMMC 2.0 αναγκάζει αυτούς τους εργολάβους να δημιουργήσουν καλές επιχειρηματικές συνήθειες που είναι τελικά καλές για τους οργανισμούς τους», λέει ο Charles.

Η σκέψη ενός ακόμη κανονισμού μπορεί να είναι τρομακτική. Τα καλά νέα είναι ότι το ήμισυ του CMMC 2.0 βρίσκεται ήδη στο NIST SP 800-171 — περιγράφοντας λεπτομερώς τις πρακτικές κυβερνοασφάλειας που πρέπει ήδη να ακολουθούν οι ανάδοχοι της DIB, π.χ. χρήση λογισμικού προστασίας από ιούς, εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και χαρτογράφηση και επισήμανση όλων των CUI .

Ουσιαστικά, οι εταιρείες δεν μπορούν καν να λάβουν ασφαλιστική κάλυψη για την ασφάλεια στον κυβερνοχώρο χωρίς να εφαρμόσουν πολλά από τα μέτρα που περιγράφονται στο CMMC 2.0. «Εννέα από τους 13 ασφαλιστικούς φορείς που παρακολουθούμε δεν θα συντάξουν συμβόλαιο εάν δεν έχετε MFA. Το ίδιο και με το CMMC 2.0 — και ένα Σχέδιο Δράσης και Ορόσημα (POA&M) δεν θα γίνει δεκτό εάν δεν έχετε τα βασικά, όπως εκπαίδευση ευαισθητοποίησης MFA, προστασίας από ιούς και ασφάλειας», λέει ο Charles.

Το CMMC 2.0 είναι ένα απαραίτητο βήμα προς τα εμπρός για ολόκληρη την αμυντική βιομηχανία για να ανέβει στην ταχύτητα από τεχνολογική άποψη.

Γιατί είναι το κλειδί να αλλάξετε την προσέγγισή σας

Όπως αναφέρθηκε, η πιο κοινή παρανόηση σχετικά με το CMMC 2.0 είναι ότι είναι ένα νέο πρότυπο συμμόρφωσης ενώ, στην πραγματικότητα, δεν είναι.

Η άλλη κρίσιμη παρανόηση είναι ότι πολλοί εργολάβοι υποθέτουν ότι μπορούν να περιμένουν έως ότου εγκριθεί η απόφαση CMMC 2.0 πριν αναλάβουν δράση. Πολλοί εργολάβοι υποτιμούν πόσο χρόνο θα χρειαστεί για να αξιολογήσουν τη στάση ασφαλείας τους, να εφαρμόσουν ενέργειες αποκατάστασης και να λάβουν την αξιολόγησή τους από τρίτους. Μερικοί επίσης εκτιμούν εσφαλμένα πόσο τεχνικά υστερούν τα συστήματα και οι διαδικασίες τους και η επένδυση που απαιτείται για την επίτευξη συμμόρφωσης. Είναι επίσης σημαντικό να θυμάστε ότι η τήρηση αυτών των προτύπων απαιτεί συντονισμό με τους προμηθευτές, ο οποίος μπορεί να πάρει χρόνο για να ολοκληρωθεί. «Πολλοί εργολάβοι παραβλέπουν την πολυπλοκότητα των αλυσίδων εφοδιασμού τους και τον αριθμό των τρίτων προμηθευτών που χρησιμοποιούν. Για παράδειγμα, μπορεί να ανακαλύψετε ότι ορισμένοι προμηθευτές εξακολουθούν να χρησιμοποιούν τα Windows 7 και να αρνούνται την αναβάθμιση. Έτσι, θα μπορούσατε να βρεθείτε σε ένα τουρσί εάν οι πωλητές σας δεν συμμορφώνονται και πρέπει να περιμένετε να αναβαθμίσουν την τεχνολογία τους», λέει ο Charles.

Υπάρχουν επίσης ζητήματα με τη συμμόρφωση με το cloud, επισημαίνει ο Charles. Πολλοί εργολάβοι επίσης δεν συνειδητοποιούν ότι δεν μπορούν να επεξεργαστούν το CUI σε οποιοδήποτε σύννεφο — η πλατφόρμα σας πρέπει να βρίσκεται σε ένα μέσο Fedram ή ένα υψηλό σύννεφο Fedram. Για παράδειγμα, αντί για το Office 365, πρέπει να χρησιμοποιήσετε το Microsoft 365 Government Community Cloud High (GCC High).

Πώς να προετοιμαστείτε για το CMMC 2.0

Ξεκινήστε την προετοιμασία το συντομότερο δυνατό, αν δεν το έχετε κάνει ήδη και περιμένετε ότι η διαδικασία θα διαρκέσει ένα ή δύο χρόνια. Το CMMC 2.0 πιθανότατα θα τεθεί σε ισχύ το 2023 και μόλις συμβεί, θα εμφανιστεί σε όλα τα συμβόλαια εντός 60 ημερών. Δεν έχετε την πολυτέλεια να περιμένετε μέχρι την τελευταία στιγμή.

Με άλλα λόγια, οι εργολάβοι θα επωφεληθούν από την αίσθηση του επείγοντος. «Η επίτευξη συμμόρφωσης με μία κίνηση μπορεί να είναι ένα μεγάλο σοκ για έναν οργανισμό και τις καθημερινές επιχειρηματικές του διαδικασίες. Συνιστώ τη διεξαγωγή αξιολόγησης και τον σχεδιασμό ενός πολυετούς οδικού χάρτη», λέει ο Charles. Αυτό το σχέδιο θα πρέπει να απαντά σε ερωτήσεις όπως: Ποια μηχανήματα/υλικό πρέπει να αντικαταστήσετε; Ποιοι τρίτοι προμηθευτές απαιτούν αναβαθμίσεις; Έχουν σχέδια να το κάνουν τα επόμενα τρία χρόνια;»

Η υποβολή ενός σχεδίου ασφάλειας συστήματος (SSP) είναι απαραίτητη για τη συμμόρφωση με το CMMC 2.0. Το SSP είναι επίσης ένα ουσιαστικό έγγραφο που α πάροχος διαχειριζόμενων υπηρεσιών (MSP) μπορεί να χρησιμοποιηθεί για να βοηθήσει την εταιρεία σας με τη συμμόρφωση. Το φύλλο αποτελεσμάτων περιγράφει τις απαιτήσεις ασφαλείας της CMMC και σας βοηθά να αποκτήσετε μια επισκόπηση των αναβαθμίσεων που χρειάζεστε. «Το πρώτο πράγμα που συνήθως ρωτάω είναι «ξέρεις τη βαθμολογία σου στο SSP;», λέει ο Τσαρλς. Άλλες εταιρείες μπορεί να μην είναι τόσο μακριά. Σε αυτήν την περίπτωση, η Charles IT μπορεί να πραγματοποιήσει μια αξιολόγηση κενού ή κινδύνου για τους πελάτες μας ως πρώτο βήμα για τη σύνταξη ενός SSP και ενός σχεδίου δράσης και ορόσημων (POA&M). «Το λέμε αξιολόγηση του κενού. Πρέπει να ξέρουμε πόσο βαθύ είναι το νερό και μετά θα το εντοπίσουμε και θα τους βοηθήσουμε να γράψουν ένα SSP», συμβουλεύει ο Charles.

Εάν έχετε μια σχετικά ώριμη στάση ασφαλείας και ακολουθείτε τις πιο πρόσφατες βέλτιστες πρακτικές ασφάλειας στον κυβερνοχώρο, η επίτευξη συμμόρφωσης με το CMMC 2.0 θα χρειαστεί περίπου έξι έως εννέα μήνες. Εάν όχι, θα μπορούσατε να δείτε ένα χρονοδιάγραμμα 18 μηνών. Και πάλι, μην περιμένετε μέχρι να έρθει στο τραπέζι ένα συμβόλαιο — ξεκινήστε τώρα για να αποφύγετε την απώλεια επιχειρήσεων.