Чарльз, засновник IT-спеціалістів, Фостер Чарльз, розповідає про CMMC 2.0 серед нормотворення Міністерства оборони

Перевидано Платоном

читають: 0

Дев’ять із 13 страхових компаній, яких ми відстежуємо, не випишуть поліс, якщо у вас немає MFA. Те ж саме з CMMC 2.0 — план дій і основні етапи (POA&M) не буде прийнято, якщо у вас немає основ, таких як MFA, антивірусна програма та навчання з питань безпеки. – Фостер Чарльз, засновник і генеральний директор Charles IT

МІДДЛТАУН, Коннектикут (PRWEB) Березня 27, 2023

Міністерство оборони (DoD) оголосило про нову модель сертифікації кібербезпеки, CMMC 2.0, у листопаді 2021 року. Зміни відбулися після того, як було визначено, що оригінальна модель CMMC 1.0 була надто громіздкою та заплутаною для підрядників. Намір, однак, залишається тим самим: забезпечити, щоб підрядники оборонно-промислової бази (DIB) мали відповідні заходи та процедури для захисту конфіденційної інформації, включаючи контрольовану несекретну інформацію (CUI) та інформацію про федеральні контракти (FCI).

Важливо розуміти, що CMMC 2.0 насправді не є чимось новим. Вимоги засновані на Національному інституті стандартів і технологій (NIST) SP 800-171 і безпосередньо узгоджені з Доповненням щодо федеральних закупівель для оборони (DFARS), яке вимагається вже деякий час.

Важливим є те, наскільки суворо ви дотримуєтеся цих найкращих практик для ІТ-безпеки, оскільки нові правила будуть суворо введені в дію в 2023 році. Щоб досягти успіху, підрядники повинні змінити свій підхід до відповідності або ризикують втратити вигідні контракти або понести значні штрафи.

Зміни високого рівня в CMMC 2.0

CMMC 1.0 мав на меті об’єднати різні вимоги безпеки в єдиний стандарт відповідності для федерального уряду. Хоча намір був добрим, правила були дуже складними. CMMC 2.0 є спрощеною версією CMMC 1.0, що значно полегшує підрядникам DIB досягнення відповідності з метою підвищення безпеки федеральної оборони.

Перший рівень вимагає самооцінки 17 передових практик, схожих на структуру кібербезпеки NIST (CSF). Другий рівень відповідає стандарту NIST SP 800-171 і потребує сертифікації сторонньої оціночної організації CMMC (C3PAO). Нарешті, підрядники DIB, які обробляють надсекретну інформацію, повинні досягти третього рівня відповідності на основі NIST 800-172.

CMMC 2.0 усуває вимоги, які не включені в NIST SP 800-171, щоб зробити досягнення та забезпечення відповідності більш практичним. Він також охоплює субпідрядників DIB, щоб гарантувати безпеку в усьому ланцюжку постачання, оскільки більша кількість зловмисників націлюється на менші компанії, які укладають контракти з галузевими гігантами (наприклад, Lockheed Martin). «Хакери можуть отримати лише одну частину CUI від одного постачальника. Але якщо скласти їх купу разом, можна отримати досить повну картину — так відбувається витік секретів. CMMC 2.0 — це захист державних таємниць», — каже Чарльз.

Кібервійна є останнім занепокоєнням, і на це є вагомі причини. Наприклад, суб’єкти загрози можуть здійснити кібератаку на інфраструктуру (наприклад, атака Colonial Pipeline), а потім скористатися тривалим простоєм, щоб здійснити більш руйнівну фізичну атаку, яка може зупинити всю націю.

Який ключовий висновок цих змін і що потрібно знати, оновлюючи свої процеси?

Основна мета CMMC 2.0 — внести ясність і усунути складність. Наприклад, кожні три роки (замість щорічної оцінки) вимагається сертифікація третьої сторони на відповідність рівням другого та третього.

Крім того, процедури легше зрозуміти, тож ви можете зосередитися на оновленні системи безпеки.

Як CMMC 2.0 приносить користь підрядникам DIB

CMMC 2.0 забезпечує кращий захист CUI для запобігання витоку даних і шпигунству. Це зміцнює національну безпеку та допомагає захистити від атак у ланцюзі поставок або державних атак. Однак слід розуміти, що це також приносить користь підрядникам DIB у їхній діяльності: «Промисловість дуже сильно відстає в ІТ та безпеці. Компанії все ще запускають багато процесів вручну, що дуже небезпечно. Їхня погана гігієна ІТ-безпеки часто призводить до дорогих програм-вимагачів та інших атак. CMMC 2.0 змушує цих підрядників виробити хороші ділові звички, які зрештою приносять користь їхнім організаціям», — каже Чарльз.

Думка про ще одне регулювання може налякати. Хороша новина полягає в тому, що половина CMMC 2.0 уже міститься в NIST SP 800-171 — у ньому докладно описано методи кібербезпеки, яких уже повинні дотримуватися підрядники DIB, наприклад, використання антивірусного програмного забезпечення, впровадження багатофакторної автентифікації (MFA), відображення та маркування всіх CUI .

Найважливіше те, що компанії не можуть навіть отримати страхове покриття кібербезпеки, не впровадивши багато заходів, викладених у CMMC 2.0. «Дев’ять із 13 страхових компаній, яких ми відстежуємо, не випишуть поліс, якщо у вас немає MFA. Те ж саме з CMMC 2.0 — план дій і основні етапи (POA&M) не буде прийнято, якщо у вас немає основ, таких як MFA, антивірусна програма та навчання з питань безпеки», — говорить Чарльз.

CMMC 2.0 є необхідним кроком вперед для всієї оборонної промисловості, щоб прискоритися з технологічної точки зору.

Чому зміна підходу є ключовою

Як згадувалося, найпоширенішою помилкою щодо CMMC 2.0 є те, що це новий стандарт відповідності, хоча насправді це не так.

Інша важлива помилка полягає в тому, що багато підрядників припускають, що вони можуть дочекатися схвалення рішення CMMC 2.0, перш ніж вживати заходів. Багато підрядників недооцінюють, скільки часу знадобиться для оцінки стану їхньої безпеки, впровадження заходів із відновлення та отримання оцінки від третьої сторони. Деякі також неправильно оцінюють технічну підтримку їхніх систем і процесів та інвестиції, необхідні для досягнення відповідності. Також важливо пам’ятати, що відповідність цим стандартам потребує координації з постачальниками, на що може знадобитися час. «Багато підрядників не звертають уваги на складність своїх ланцюгів поставок і кількість сторонніх постачальників, яких вони використовують. Наприклад, ви можете виявити, що деякі постачальники все ще використовують Windows 7 і відмовитися від оновлення. Тож ви можете опинитися в скрутному становищі, якщо ваші постачальники не будуть відповідати вимогам, і вам доведеться чекати, доки вони оновлять свою технологію», — каже Чарльз.

Чарльз зазначає, що існують також проблеми з відповідністю хмарним вимогам. Багато підрядників також не усвідомлюють, що вони не можуть обробляти CUI в будь-якій хмарі — ваша платформа має розташовуватися на середній або високій хмарі Fedramp. Наприклад, замість Office 365 ви повинні використовувати Microsoft 365 Government Community Cloud High (GCC High).

Як підготуватися до CMMC 2.0

Почніть готуватися якнайшвидше, якщо ви цього ще не зробили, і очікуйте, що процес займе рік або два. CMMC 2.0, швидше за все, набуде чинності в 2023 році, і як тільки це станеться, він з’явиться в усіх контрактах протягом 60 днів. Ви не можете дозволити собі чекати до останньої хвилини.

Іншими словами, підрядники виграють від відчуття терміновості. «Досягнення відповідності за один раз може стати серйозним шоком для організації та її повсякденних бізнес-процесів. Я рекомендую провести оцінку та розробити багаторічну дорожню карту», — говорить Чарльз. Цей план повинен відповідати на такі запитання: які машини/обладнання потрібно замінити? Які сторонні постачальники вимагають оновлення? Чи є у них плани зробити це в найближчі три роки?»

Надсилання плану безпеки системи (SSP) має важливе значення для відповідності CMMC 2.0. SSP також є важливим документом, який a керований постачальник послуг (MSP) можна використовувати, щоб допомогти вашій компанії з дотриманням вимог. У таблиці окреслено вимоги безпеки CMMC і допоможе вам отримати уявлення про оновлення, які вам потрібні. «Перше, що я зазвичай запитую, це: «чи знаєте ви свій бал SSP?», — каже Чарльз. Інші компанії можуть не просунутися так далеко. У такому випадку Charles IT може провести оцінку прогалин або ризиків для наших клієнтів як перший крок до написання SSP і плану дій і етапів (POA&M). «Ми називаємо це оцінка прогалин. Нам потрібно знати, наскільки глибока вода, а потім ми точно її визначимо та допоможемо їм написати SSP», – радить Чарльз.

Якщо ви маєте відносно зрілу позицію безпеки та дотримуєтеся найновіших найкращих практик кібербезпеки, досягнення відповідності CMMC 2.0 має зайняти від шести до дев’яти місяців. Якщо ні, ви можете дивитися на 18-місячний графік. Знову ж таки, не чекайте, поки контракт буде на столі — почніть зараз, щоб уникнути втрати бізнесу.