Шесть основных вопросов о CMMC

Что нужно знать производителям

Кибербезопасность - не новая тема в производстве. В тот момент, когда подключенное оборудование, инновационное программное обеспечение и передовые робототехнические системы начали появляться в цехах, кибербезопасность стала частью разговора. Кибербезопасность попала в заголовки газет наряду со статьями об Индустрии 4.0, но в разговоре доминировал шум о новых ярких технологиях.

Производители склонны отодвигать кибербезопасность на второй план. Это больше не будет вариантом для многих. Обрабатывающая промышленность неизменно входит в пятерку самых уязвимых и уязвимых для кибератак отраслей. Секторы здравоохранения, финансовых услуг и государственных агентств придерживаются более высоких стандартов, когда речь идет о соблюдении требований безопасности и управлении рисками. Обрабатывающая промышленность еще не соответствовала более высоким стандартам и, следовательно, стала еще более уязвимой для киберпреступлений.

Сертификация модели зрелости кибербезопасности (CMMC) давит на отрасль, и ниже приведены 6 важнейших вопросов, которые производители должны задать.

Что такое CMMC?

CMMC означает сертификацию модели зрелости кибербезопасности. Эта сертификация использует уникальный подход к обеспечению безопасности критически важной интеллектуальной собственности. Сначала CMMC потребуется только производителям и поставщикам, которые обрабатывают контролируемую несекретную информацию (CUI) для Министерства обороны (DoD).

Сертификация модели зрелости кибербезопасности (CMMC) - это метод подтверждения того, что соответствующие уровни процессов и защиты кибербезопасности существуют для примерно 300 000 подрядчиков и субподрядчиков в цепочке поставок Министерства обороны США. Теперь для процесса CMMC потребуется, чтобы сторонняя организация по оценке CMMC (C3PAO) подтвердила, что компании подали жалобу и что CUI безопасен.

В CMMC есть 5 уровней зрелости, которые варьируются от «Базовая гигиена кибербезопасности» до «Продвинутый / Прогрессивный». По мере повышения уровня зрелости растут и правила и рекомендации, которым должен следовать бизнес, чтобы получить сертификат и оставаться в соответствии с его требованиями.

Для чего создается CMMC?

Министерство обороны признало кибератаки серьезной угрозой, особенно для малых и средних субподрядчиков, обслуживающих более крупные компании. Плохие игроки осознали, что простые игроки тратили больше ресурсов на предотвращение атак и что их цепочка поставок была более легкой мишенью. Требования к кибербезопасности Национального института стандартов и технологий (NIST) в специальной публикации (SP) 800-171 были разработаны для защиты конфиденциальной информации для подрядчиков, работающих с Министерством обороны (DoD), в соответствии с Дополнением к Правилам федеральных закупок Министерства обороны (DFARS) 252.204 -7012 пункт. Когда Министерство обороны оценило, что только небольшой процент цепочки поставок соответствует этим руководящим принципам, была создана Сертификация модели зрелости кибербезопасности (CMMC).

К сожалению, кибератаки - обычное дело. «Поскольку более 80 процентов информации о национальной обороне хранится в сетях партнеров, это уже не разговор о том, что вы делаете или что делаю я; более важно то, что мы делаем как коллектив для защиты национальной обороны », - сказала Кэти Аррингтон, специальный помощник помощника министра обороны по закупкам в Cyber ​​и одна из главных сторонников CMMC.

Сообщается, что в декабре 2018 года китайские хакеры украли информацию у подрядчиков ВМФ, в том числе данные о техническом обслуживании кораблей и планы ракет. Эти действия представляют собой прямую угрозу национальной безопасности. Даже если у крупного поставщика DoD, такого как Lockheed Martin, есть программа кибербезопасности высшего уровня, каждый субподрядчик и поставщик в цепочке поставок DoD должен также защитить себя, иначе они станут точкой входа для киберпреступников. Всего одно слабое звено в цепочке поставок Министерства обороны может поставить под угрозу всю страну.

Нужна ли моей компании CMMC?

Каждая компания должна инвестировать в усиление своей кибербезопасности. Согласно исследованию Radware Survey, предполагаемая стоимость одной кибератаки составляет 4,6 миллиона долларов ¹ . . 13% участников опроса испытали кибератаку, которая обошлась их компании в 10 миллионов долларов и более, и эта цифра увеличилась вдвое всего за один год в период с 2018 по 2019 год. Эксперты в области кибербезопасности Программы расширения производства Нью-Джерси (NJMEP) предполагают, что каждый производитель будет получить выгоду от достижения эквивалента «Промежуточной кибергигиены» или Уровня 2 CMMC как передовой практики. Для подрядчиков DoD уровень зрелости будет зависеть от того, на каком этапе цепочки поставок DoD находится компания.

Определение того, какой из пяти уровней зрелости CMMC должен соблюдать поставщик, субподрядчик или производитель DoD, будет либо определен основным подрядчиком DoD, либо может быть выявлен с помощью анализа пробелов CMMC. Всем поставщикам, субподрядчикам или производителям, которые выполняют какую-либо работу, даже минимальную, с DoD, потребуется некоторый уровень CMMC, но уровень зрелости будет отличаться в зависимости от информации, которую обрабатывают компании, и выполняемой работы.

Если компания на базе оборонно-промышленной базы (DIB) не обладает контролируемой несекретной информацией (CUI), но имеет информацию о федеральном контракте (FCI), она должна соответствовать пункту 52.204-21 FAR и быть сертифицирована как минимум на уровне CMMC 1.

Когда мне нужно начинать процесс сертификации?

В настоящее время. Поставщики DoD, субподрядчики и производители должны начать процесс становления CMMC как можно скорее, чтобы избежать риска потери важных контрактов DoD. От начала до конца процесс может занять больше года. В июне 2020 года CMMC начала появляться в RFI. Компании могут ожидать, что в RFP будет упоминаться CMMC, начиная с сентября 2020 года, а оценки начнутся осенью 2020 года.

Действовать сейчас и работать с консультантом, хорошо знакомым с CMMC и структурой, из которой возникла CMMC, NIST 8001-171, будет иметь жизненно важное значение. Сертификация начинается с оценки, чтобы определить, на каком уровне зрелости CMMC в настоящее время находится организация. Следующим шагом будет проведение углубленного анализа пробелов и переход к комплексному устранению недостатков. Каждый уровень зрелости CMMC требует разного количества времени и усилий. Однако если начать как можно скорее, это снизит нагрузку на компанию, руководство и персонал.

Что произойдет, если я не получу сертификат?

Для подрядчиков Министерства обороны, субподрядчиков, поставщиков или производителей…

Достижение необходимого уровня зрелости CMMC может означать разницу между получением следующего контракта DoD или нет. Генеральные подрядчики Министерства обороны начнут требовать от всех субподрядчиков соблюдения этих важных новых правил. Любой производитель, который не соблюдает эти руководящие принципы и достиг надлежащего зрелого уровня CMMC, не сможет продолжать вести бизнес DoD.

Для производителей, не связанных с DoD…

На данный момент подрядчики Министерства обороны - единственные, кто рискует потерять работу Министерства обороны, если они не приобретут CMMC. Однако малые и средние производители всегда подвергаются риску кибератаки, которая полностью нанесет ущерб их бизнесу, иногда до такой степени, что они никогда не смогут восстановиться в финансовом отношении. Эта сертификация предоставляет производителям, не связанным с DoD, фантастические базовые показатели и передовой опыт в области кибербезопасности. В зависимости от результатов оценки кибербезопасности бизнес может определить, какой уровень зрелости подойдет им лучше всего.

Кто ответит на все мои вопросы о CMMC?

Приобретение CMMC может оказаться проблемой, особенно без надлежащей поддержки. Сертификация все еще находится в зачаточном состоянии, что создает сложную среду для самостоятельной навигации производителей. Изучение веб-сайтов, таких как acq.osd.mil/cmmc/faq.html, или работа с консультантами, такими как NJMEP, - лучший способ начать и поможет превратить сложный процесс в оптимизированную добавочную стоимость для любого бизнеса.

Понимание CMMC, какие компании будут затронуты, когда действовать, и определение необходимого уровня зрелости может быть пугающим. Не делай этого в одиночку. Кибербезопасность важна, но может быть сложной задачей. Работа с правильной командой и доступ к нужной информации окажутся неоценимыми.

Будьте осторожны

По этой теме было так много вопросов и так много разработок, пока она развертывалась. Вначале было много компаний, которые заявляли о своей способности помочь и взимали значительную сумму, даже когда окончательная версия руководящих принципов еще не была принята или сообщена. Есть бесчисленное множество компаний, продающих решения или услуги, и может быть сложно определить, кому доверять. Это не то, что можно просто передать на аутсорсинг провайдеру управляемых услуг (MSP), утверждающему, что он знаком с требованиями.

1. https://www.radware.com/newsevents/pressreleases/c-suite-2019