กระทรวงกลาโหมได้พูดถึงมาตรฐาน Cybersecurity Maturity Model Certification (CMMC) มานานกว่าสามปีแล้วและแม้ว่ามาตรฐานเวอร์ชันสุดท้าย 2.0 จะยังไม่พร้อมจนกว่าจะถึงฤดูร้อนหน้า ผลกระทบของการพูดถึงการปรับปรุงความปลอดภัยในโลกไซเบอร์ระหว่างผู้รับเหมาก็เป็นเรื่องจริงStacy Bostjanick หัวหน้าฝ่ายปฏิบัติการและนโยบาย และรอง CIO ด้านความปลอดภัยทางไซเบอร์ของกระทรวงกลาโหม กล่าวว่า ผู้รับเหมายอมรับความจำเป็นในการปกป้องข้อมูลของตนมากขึ้น
แต่เธอยอมรับอย่างรวดเร็วว่าพวกเขาอาจไม่ได้ยอมรับ CMMC อย่างเต็มที่
“มาตรา 7012 [กฎการจัดหากลาโหม] เริ่มต้นอย่างจริงจังในปี 2013 เราได้รับการตอบกลับจำนวนมากและในที่สุดก็ทำให้มันกลายเป็นกฎในปี 2017 หลังจากนั้น เราก็มีเหตุการณ์บางอย่างเช่น SolarWinds ท่อส่งอาณานิคม และ ตอนนี้ผู้คนเป็นแบบว่า ‘โอ้ ใช่ บางทีผู้คนอาจกำลังตามฉันมา โอ้ บางทีมันอาจจะเป็นปัญหาก็ได้’” Bostjanick กล่าวในงาน AFCEA NOVA Small Business IT Day ที่ผ่านมา
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
ดร. เคลลี่ เฟลตเชอร์ รองประธานเจ้าหน้าที่ฝ่ายสารสนเทศของกระทรวงกลาโหม กล่าวว่า แนวทางปัจจุบัน ซึ่งอิงจากการรับรองด้วยตนเอง จะสร้างสนามแข่งขันที่ไม่ได้รับการปรับระดับสำหรับผู้รับเหมาที่เลือกทำตามขั้นตอนที่ถูกต้องเพื่อรักษาความปลอดภัยข้อมูลของตนและผู้ที่เพิ่ง บอกว่าพวกเขาทำ
“เราทราบดีว่าเราปฏิบัติตามข้อกำหนดที่แตกต่างกันอย่างสิ้นเชิง หากคุณปฏิบัติตามสิ่งที่อยู่ในสัญญาของคุณตอนนี้ คุณกำลังแข่งขันกับคนที่ไม่ปฏิบัติตาม และฉันคิดว่า CMMC กำลังพยายามทำหลังจากนั้น” Fletcher กล่าว “ฉันไม่คิดว่า CMMC จะสมบูรณ์แบบ ฉันคิดว่าวิธีแก้ปัญหาที่เราคิดขึ้นมานั้นไม่ได้สมบูรณ์แบบ แต่มันเป็นความพยายามครั้งแรกของเราที่จะได้รับหลังจากนั้น”
25% ของ DIB เป็นไปตามข้อกำหนดทางไซเบอร์
แม้ว่าปัญหาอาจไม่ใช่เรื่องใหม่ แต่ข้อมูลที่รวบรวมโดย Defense Contract Management Agency (DCMA) แสดงให้เห็นว่ามันน่าหนักใจเพียงใด
จอห์น เอลลิส ผู้อำนวยการแผนกซอฟต์แวร์ของผู้อำนวยการด้านเทคนิคของ DCMA กล่าวว่าจากการประเมิน 300 ครั้งที่ศูนย์ประเมินความปลอดภัยทางไซเบอร์ของฐานอุตสาหกรรมกลาโหม (DIBCAC) ทำในช่วงไม่กี่ปีที่ผ่านมา มีเพียง 25% ของบริษัทเท่านั้นที่ปฏิบัติตามข้อกำหนด 110 ข้อในสถาบันแห่งชาติ ของสิ่งพิมพ์พิเศษของมาตรฐานและเทคโนโลยี 800-171
“หากบริษัทประมาณ 25% ปฏิบัติตามข้อกำหนดทั้งหมดเมื่อเราประเมินบริษัทเหล่านี้ ตอนนี้ หากคุณประเมินค่าดังกล่าวทั่วทั้ง DIB นั่นคือเหตุผลที่เราแจ้งการตัดสินใจบางอย่าง ดังนั้นหากสิ่งที่ CMMC จะทำเพื่อเราในอนาคตโดยที่เราทำไม่ได้ในวันนี้ สิ่งที่เราทำในวันนี้ส่วนใหญ่เป็นกิจกรรมหลังการประเมิน มีช่องโหว่ในกลไกเหล่านั้น สิ่งต่าง ๆ ไม่ได้ถูกนำไปใช้อย่างสมบูรณ์” เอลลิสกล่าวในการประชุมฤดูใบไม้ผลิของรัฐบาลในการจัดซื้อจัดจ้างรัฐบาลในฟอลส์เชิร์ช เวอร์จิเนีย “CMMC จะให้เราจัดการกับบางสิ่งที่นำไปสู่การป้องกันการโจมตีแรนซัมแวร์ที่แข็งแกร่งขึ้น เนื่องจากบริษัทต่างๆ จะต้องปฏิบัติตามข้อกำหนดอย่างเต็มที่มากขึ้น หาก 75% ของบริษัทของคุณไม่สามารถปฏิบัติตามข้อกำหนดได้ และพวกเขาจำเป็นต้องปฏิบัติตามข้อกำหนดเหล่านี้ทั้งหมดก่อนที่จะได้รับสัญญา หมายความว่าอย่างไร ในแง่ของใครสามารถแข่งขันเพื่อทำสัญญา? ไม่เป็นลางดี”
Ellis กล่าวว่าข้อบกพร่องของ DIB ตามการประเมินของพวกเขา และความจำเป็นในการนำบริษัทจำนวนมากขึ้นให้อยู่ในระดับที่เสมอกันเร็วขึ้นคือสาเหตุที่ DCMA เปิดตัวโครงการ Early Adopter สำหรับ CMMC สิ่งนี้มีไว้เพื่อให้บริษัทด้านการป้องกันทำงานร่วมกับองค์กรประเมินบุคคลที่สามที่ได้รับการรับรอง (C3PAO) ก่อนที่ CMMC 2.0 จะเสร็จสิ้น เอลลิสกล่าวว่าผู้ตรวจสอบ DCMA จะมองข้ามไหล่ของ C3PAO และเสนอข้อเสนอแนะและข้อมูลเชิงลึก แต่ไม่ใช่การตรวจสอบ DIBCAC อย่างเป็นทางการ
credit : ฝากถอนไม่มีขั้นต่ำ