Charles Người sáng lập CNTT, Foster Charles, nói chuyện về CMMC 2.0 trong bối cảnh DoD xây dựng quy tắc

Được xuất bản lại bởi Plato

Người theo dõi: 0

Chín trong số 13 hãng bảo hiểm mà chúng tôi theo dõi sẽ không viết chính sách trừ khi bạn có MFA. Tương tự với CMMC 2.0 — và Kế hoạch Hành động và Cột mốc (POA&M) sẽ không được chấp nhận nếu bạn không có kiến thức cơ bản như MFA, chống vi-rút và đào tạo nâng cao nhận thức về bảo mật. – Foster Charles, Người sáng lập & Giám đốc điều hành, Charles IT

MIDDLETOWN, Connecticut (PRWEB) 27 Tháng ba, 2023

Bộ Quốc phòng (DoD) đã công bố Chứng nhận Mô hình trưởng thành về An ninh mạng mới, CMMC 2.0, vào tháng 2021 năm 1.0. Thay đổi được đưa ra sau khi người ta xác định rằng mô hình CMMC XNUMX ban đầu quá cồng kềnh và gây nhầm lẫn cho các nhà thầu. Tuy nhiên, mục đích vẫn như cũ: đảm bảo rằng các nhà thầu của Cơ sở Công nghiệp Quốc phòng (DIB) có các biện pháp và quy trình phù hợp để bảo vệ thông tin nhạy cảm, bao gồm thông tin chưa được phân loại có kiểm soát (CUI) và thông tin hợp đồng liên bang (FCI).

Điều quan trọng cần hiểu là CMMC 2.0 thực ra không có gì mới. Các yêu cầu dựa trên Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) SP 800-171 và được liên kết trực tiếp với Bổ sung Quy định Mua lại Liên bang về Quốc phòng (DFARS), vốn đã được yêu cầu trong một thời gian.

Điều quan trọng là bạn đang thực hiện nghiêm túc đến mức nào các phương pháp hay nhất này về bảo mật CNTT, vì các quy định mới sẽ được thực thi nghiêm ngặt vào năm 2023. Để thành công, các nhà thầu phải thay đổi cách tiếp cận tuân thủ của họ, nếu không sẽ có nguy cơ mất các hợp đồng béo bở hoặc phải chịu các khoản tiền phạt nặng.

Các thay đổi cấp cao trong CMMC 2.0

CMMC 1.0 nhằm mục đích tổng hợp các yêu cầu bảo mật khác nhau thành một tiêu chuẩn tuân thủ duy nhất cho chính phủ liên bang. Trong khi ý định là tốt, các quy tắc rất phức tạp. CMMC 2.0 là sự đơn giản hóa của CMMC 1.0 — giúp các nhà thầu DIB dễ dàng đạt được sự tuân thủ hơn để cải thiện an ninh quốc phòng liên bang.

Cấp độ một yêu cầu tự đánh giá 17 phương pháp hay nhất tương tự như khung an ninh mạng (CSF) của NIST. Cấp hai phù hợp với NIST SP 800-171 và yêu cầu chứng nhận từ Tổ chức đánh giá bên thứ ba CMMC (C3PAO). Cuối cùng, các nhà thầu DIB xử lý thông tin tuyệt mật phải đạt được mức độ tuân thủ ba dựa trên NIST 800-172.

CMMC 2.0 loại bỏ các yêu cầu không có trong NIST SP 800-171 để giúp việc đạt được và thực thi tuân thủ trở nên thiết thực hơn. Nó cũng bao gồm các nhà thầu phụ của DIB để đảm bảo an ninh trên toàn bộ chuỗi cung ứng khi nhiều kẻ xấu nhắm mục tiêu vào các công ty nhỏ hơn ký hợp đồng với những người khổng lồ trong ngành (ví dụ: Lockheed Martin). “Tin tặc có thể chỉ lấy được một mẩu CUI từ một nhà cung cấp. Nhưng nếu họ xếp một loạt chúng lại với nhau, họ có thể có được một bức tranh khá hoàn chỉnh — đây là cách các bí mật bị rò rỉ. CMMC 2.0 là về bảo vệ bí mật quốc gia,” Charles nói.

Chiến tranh mạng là mối quan tâm mới nhất và vì những lý do chính đáng. Ví dụ: các tác nhân đe dọa có thể khởi động một cuộc tấn công mạng vào cơ sở hạ tầng (ví dụ: cuộc tấn công Đường ống thuộc địa), sau đó tận dụng thời gian ngừng hoạt động kéo dài để khởi động một cuộc tấn công vật lý tàn khốc hơn — có thể khiến cả quốc gia phải ngừng hoạt động.

Điểm mấu chốt của những thay đổi này là gì và bạn cần biết điều gì khi cập nhật các quy trình của mình?

Mục tiêu chính của CMMC 2.0 là mang lại sự rõ ràng và loại bỏ sự phức tạp. Chẳng hạn, nó yêu cầu chứng nhận của bên thứ ba ba năm một lần (thay vì đánh giá hàng năm) đối với việc tuân thủ cấp độ hai và ba.

Hơn nữa, các quy trình dễ hiểu hơn, vì vậy bạn có thể tập trung vào việc cập nhật trạng thái bảo mật của mình.

CMMC 2.0 mang lại lợi ích như thế nào cho các nhà thầu DIB

CMMC 2.0 cho phép bảo vệ CUI tốt hơn để ngăn chặn rò rỉ dữ liệu và hoạt động gián điệp. Nó củng cố an ninh quốc gia và giúp bảo vệ chống lại chuỗi cung ứng hoặc các cuộc tấn công do nhà nước tài trợ. Tuy nhiên, hãy hiểu rằng điều đó cũng mang lại lợi ích cho các nhà thầu DIB trong hoạt động của họ: “Ngành sản xuất tụt hậu rất xa về CNTT và bảo mật. Các công ty vẫn chạy nhiều quy trình theo cách thủ công, điều này rất không an toàn. Vệ sinh bảo mật CNTT kém của họ thường dẫn đến ransomware tốn kém và các cuộc tấn công khác. CMMC 2.0 buộc các nhà thầu này thiết lập thói quen kinh doanh tốt mà cuối cùng là tốt cho tổ chức của họ,” Charles nói.

Ý nghĩ về một quy định khác có thể đáng sợ. Tin tốt là một nửa CMMC 2.0 đã có trong NIST SP 800-171 — nêu chi tiết các biện pháp bảo mật mạng mà các nhà thầu DIB nên tuân theo, ví dụ: sử dụng phần mềm chống vi-rút, triển khai xác thực đa yếu tố (MFA), ánh xạ và gắn nhãn tất cả CUI .

Điều quan trọng là các công ty thậm chí không thể nhận được bảo hiểm an ninh mạng nếu không thực hiện nhiều biện pháp được nêu trong CMMC 2.0. “Chín trong số 13 hãng bảo hiểm mà chúng tôi theo dõi sẽ không viết chính sách trừ khi bạn có MFA. Tương tự với CMMC 2.0 — và Kế hoạch Hành động và Cột mốc (POA&M) sẽ không được chấp nhận nếu bạn không có kiến thức cơ bản như MFA, chống vi-rút và đào tạo nâng cao nhận thức về bảo mật,” Charles nói.

CMMC 2.0 là một bước tiến cần thiết để toàn bộ ngành công nghiệp quốc phòng bắt kịp tốc độ từ góc độ công nghệ.

Tại sao thay đổi cách tiếp cận của bạn là chìa khóa

Như đã đề cập, quan niệm sai lầm phổ biến nhất về CMMC 2.0 là nó là một tiêu chuẩn tuân thủ mới trong khi thực tế không phải vậy.

Một quan niệm sai lầm nghiêm trọng khác là nhiều nhà thầu cho rằng họ có thể đợi cho đến khi phán quyết CMMC 2.0 được phê duyệt trước khi hành động. Nhiều nhà thầu đánh giá thấp lượng thời gian cần thiết để đánh giá tình trạng bảo mật của họ, thực hiện các hành động khắc phục và nhận đánh giá của bên thứ ba. Một số cũng đánh giá sai mức độ kỹ thuật đằng sau các hệ thống và quy trình của họ và khoản đầu tư cần thiết để đạt được sự tuân thủ. Cũng cần nhớ rằng việc đáp ứng các tiêu chuẩn này cần có sự phối hợp với các nhà cung cấp và có thể mất thời gian để hoàn thành. “Nhiều nhà thầu bỏ qua sự phức tạp của chuỗi cung ứng và số lượng nhà cung cấp bên thứ ba mà họ sử dụng. Ví dụ: bạn có thể phát hiện ra rằng một số nhà cung cấp vẫn sử dụng Windows 7 và từ chối nâng cấp. Vì vậy, bạn có thể gặp khó khăn nếu nhà cung cấp của bạn không tuân thủ và bạn phải đợi họ nâng cấp công nghệ của mình,” Charles nói.

Charles chỉ ra rằng cũng có vấn đề với việc tuân thủ đám mây. Nhiều nhà thầu cũng không nhận ra rằng họ không thể xử lý CUI trên bất kỳ đám mây nào — nền tảng của bạn phải nằm trên đám mây trung bình Fedramp hoặc đám mây cao Fedramp. Ví dụ: thay vì Office 365, bạn phải sử dụng Microsoft 365 Government Community Cloud High (GCC High).

Cách chuẩn bị cho CMMC 2.0

Bắt đầu chuẩn bị càng sớm càng tốt nếu bạn chưa chuẩn bị và dự kiến quá trình này sẽ mất một hoặc hai năm. CMMC 2.0 có thể sẽ có hiệu lực vào năm 2023 và ngay khi có hiệu lực, nó sẽ xuất hiện trên tất cả các hợp đồng trong vòng 60 ngày. Bạn không thể đợi đến phút cuối cùng.

Nói cách khác, các nhà thầu sẽ được hưởng lợi từ cảm giác cấp bách. “Việc đạt được sự tuân thủ trong một lần có thể là một cú sốc lớn đối với một tổ chức và các quy trình kinh doanh hàng ngày của tổ chức. Tôi khuyên bạn nên tiến hành đánh giá và thiết kế một lộ trình kéo dài nhiều năm,” Charles nói. Kế hoạch này sẽ trả lời các câu hỏi như: Bạn cần thay thế máy móc/phần cứng nào? Nhà cung cấp bên thứ ba nào yêu cầu nâng cấp? Họ có kế hoạch làm như vậy trong ba năm tới không?”

Đệ trình kế hoạch bảo mật hệ thống (SSP) là điều cần thiết để tuân thủ CMMC 2.0. SSP cũng là một tài liệu thiết yếu mà một nhà cung cấp dịch vụ được quản lý (MSP) có thể sử dụng để hỗ trợ công ty của bạn tuân thủ. Bảng điểm phác thảo các yêu cầu bảo mật của CMMC và giúp bạn có được cái nhìn tổng quan về những nâng cấp mà bạn cần. “Điều đầu tiên tôi thường hỏi là, 'bạn có biết điểm SSP của mình không?',” Charles nói. Các công ty khác có thể không được như vậy. Trong trường hợp đó, Charles IT có thể tiến hành đánh giá lỗ hổng hoặc rủi ro cho khách hàng của chúng tôi như là bước đầu tiên để viết SSP cũng như kế hoạch hành động và các mốc quan trọng (POA&M). "Chúng ta gọi nó đánh giá khoảng cách. Chúng tôi cần biết độ sâu của nước, sau đó chúng tôi sẽ xác định chính xác nó và giúp họ viết SSP,” Charles khuyên.

Nếu bạn có tư thế bảo mật tương đối thuần thục và tuân theo các phương pháp hay nhất về an ninh mạng mới nhất, thì việc tuân thủ CMMC 2.0 sẽ mất khoảng sáu đến chín tháng. Nếu không, bạn có thể xem xét mốc thời gian 18 tháng. Một lần nữa, đừng đợi cho đến khi hợp đồng được ký kết — hãy bắt đầu ngay bây giờ để tránh mất việc kinh doanh.