מה זה CMMC 2.0?

מה זה CMMC 2.0? הוקמה על ידי משרד ההגנה של ארצות הברית (DOD), אישור מודל הבגרות של אבטחת סייבר (CMMC) היא מסגרת שנועדה לחזק את הגנת הסייבר של קבלנים ממשלתיים.

התוכנית שואפת להגן על מידע סודי בתוך שרשרת האספקה ​​של DOD על ידי דרישת הערכות מקיפות של צד שלישי של נוהלי האבטחה של קבלנים וקבלני משנה כאחד. למעשה, CMMC מתאר את תקני אבטחת ה-IT הספציפיים שעסקים צריכים לעמוד בהם כדי להבטיח חוזים ממשלתיים משתלמים.

CMMC הוצגה בתגובה לשורה של פרצות אבטחה המכוונות לנתונים פדרליים רגישים. האופי הגבוה של מעללים אלה הוביל את ה-DOD לבחון מחדש את יכולות האבטחה של המערכת האקולוגית שלו. הסוכנות קבעה כי חוסר הספיקות של הסטנדרטים הנוכחיים, בשילוב עם היעדר אחריות מצד קבלני משנה עם משאבים, הפכו את שרשרת האספקה ​​לפגיעה ביותר לאיומי סייבר.

CMMC מוגדר על ידי שלושת עקרונות הליבה שלה

1. רמות בגרות: גופי DIB נדרשים לעמוד בתקני ציות ברמות שהולכות ומחמירות בהתאם לרגישות הנתונים שברשותם.

2. דרישות ביקורת של צד שלישי: הערכות CMMC נדרשות כדי לאמת ולאמת את היישום הנכון של תקני אבטחת IT שהוגדרו על ידי DOD.

3. ציות חובה: על מנת להבטיח עבודה מול ה-DOD, על החברות להגיע לעמידה מלאה ברמות ה-CMMC המפורטות בחוזה.

הצורך ב-CMMC

התקפות סייבר גדלו בתדירות ובכוח המשיכה ככל שהטכנולוגיה ממשיכה להתקדם. בניסיון למתן את הבעיה, ה-DOD הטמיע את מסגרת NIST SP 800-171, סט של סטנדרטים שעודדו נוהלי אבטחה חזקים יותר בקרב קבלנים ממשלתיים. למרות היוזמה נטועה בכוונות טובות, היוזמה נידונה לכישלון. הציות התבסס על הערכות פנימיות שבוצעו על ידי כל קבלן בנפרד. ללא דרך מעשית למדידת דבקות ויכולת אבטחת סייבר, התקן אומץ באופן רופף בלבד, מה שהתברר כבעייתי ככל שנוף האיומים התפתח.

חוסר הוודאות של NIST SP 800-171 נתן השראה ל-DOD לחפש חלופות. בשנת 2019, הסוכנות חשפה את CMMC, מסגרת לפי דגם NIST SP 800-171 ותקנים רגולטוריים אחרים המוטלים על תעשיות מעבר לתחום הממשלתי. בעוד שהתקן החדש הציע את הנראות של צד שלישי שחסרה לתוכנית הקודמת, הרעיון של CMMC נתקל במידה רבה בבלבול בנוגע לדרישות.

תקן חדש ומשופר

בנובמבר, 2021, ה-DOD הציג יוזמת אבטחת סייבר מחודשת ב-CMMC 2.0. התקן המעודכן הבטיח לשמור על יעדי הליבה של התוכנית המקורית, עם התמקדות נוספת בהבהרה ופישוט הדרישות שנראה שהותירו את הבסיס התעשייתי הביטחוני הקולקטיבי (DIB) עם יותר שאלות מאשר תשובות. בנוסף לביטול שכבות הסמכה ספציפיות, CMMC 2.0 שם דגש גדול יותר על שיטור עצמי על ידי צמצום התפקיד של ביקורת צד שלישי.

למרות שקבלנים וקבלני משנה עדיין אחראים לטיפוח סביבה תפעולית מאובטחת, הוספת הערכות עצמאיות תאכוף תחושת אשמה רבה יותר כדי להבטיח שאמצעי אבטחה נאותים יתקיימו בכל שרשרת האספקה ​​לפני מתן חוזים.

עם הצגת האיטרציה הראשונה של CMMC, ה-DOD שאף להעניק סך של 15 חוזי פיילוט כאמצעי לבחון את תהליך ההערכה שלו לפני יציאה לתאריך היעד של 2025. עם תוספת 2.0 למשוואה, המחלקה בחרה לוותר על תוכנית הפיילוט, ובמיוחד, להסיר את תאימות CMMC מחובות הקבלן עד שהעדכונים ישולבו רשמית בחקיקה הפדרלית.

CMMC 2.0 זכתה לשבחים על גישתה לתעדוף יוזמות אבטחת סייבר בתחום ה-DIB, תוך מתן לעסקים קטנים ובינוניים דרך קלה יותר לעמידה בדרישות. בינתיים, ה-DOD משתמש בשילוב של קביעת חוקים וקלט באמצעות תקופת הערות ציבוריות כדי לסיים את המסגרת המתוקנת. מיותר לציין ש-CMMC הוא תקן מתפתח שכל קבלן צריך לשמור על הרדאר שלו.

מי צריך אישור CMMC 2.0?

זירת ההתמודדות על חוזים ממשלתיים היא תחרותית עזה. עם זאת, תאימות אבטחה יכולה להפוך את הזכייה בהצעות אטרקטיביות אלה להצעה מורכבת ויקרה למדי. החידה הזו מורכבת עוד יותר מדרישות מתפתחות שהן דינמיות כמו ההתקפות שהן שואפות לסכל.

CMMC דורשת מכל החברות לקבל הסמכה באמצעות תהליך הערכה ממצה על מנת להבטיח חוזים עתידיים עם ה-DOD. התקן החדש חורג מביקורת. מאנשים לתהליכים, זהו גילוי משנה משחק שישפיע באופן דרמטי על כמה מההיבטים החשובים ביותר של עסקים פדרליים.

• מה זה שרת NAS

• אבטחת מידע בענן

• פתיחת גוגל דרייב

• קניית שטח אחסון גוגל

השלכות עסקיות של CMMC

ל-CMMC צפויה להיות השלכות גדולות על חברות במגוון ענפים תעשייתיים. בואו נסתכל לעומק על ההשפעה שיכולה להיות לתקן החדש על גופים בשוק החוזים הממשלתיים.

ביקורת חובה: לאחר כניסת CMMC 2.0 לתוקף, קבלני DOD קיימים ופוטנציאליים לא יורשו להבטיח, או אפילו להציע הצעות על רכישות חדשות ללא השגת הסמכה. תאימות תאושר באמצעות גורמים בלתי תלויים שנבחרו בקפידה ויאושרו על ידי ה-DOD.

דרישות בגרות: מודל הציות המדורג הוא פן מרכזי בהסמכת CMMC. קבלנים זכאים לקבל הסמכה באחת משלוש רמות בגרות, כל אחת עם סט דרישות אבטחת סייבר משלה. הרמה המתאימה תיקבע על סמך החוזה שהארגון מחפש להשיג.

אחריות משותפת: הסמכת CMMC דורשת מאמץ מתואם מטעם כל הצדדים המטפלים במידע סודי השייך ל-DOD. הקבלנים הראשיים נדרשים להבטיח שקבלני המשנה שאליהם הם מיקור חוץ מודעים במלואם למרכיבים הקשורים ל-CMMC של חוזה נתון. יתר על כן, קבלנים ראשיים נושאים באחריות לאמת את אמצעי האבטחה המיושמים על ידי שותפיהם בקבלנות המשנה.

עלויות CMMC: העלות הכוללת של הסמכת CMMC תשתנה לפי מגוון רחב של גורמים. משתנים אלו עשויים לכלול את הגודל והמורכבות של תשתית ה-IT, בשלות מנגנוני האבטחה שנפרסו לשמירה על התשתית, והיקף והיקף הנתונים שברשות הקבלן. לפי ה-DOD, העלויות הנלוות יהיו סבירות ויתאימו לרמת ההסמכה הרצויה.

השלכות: ההשלכות של אי עמידה בציות ל-CMMC ברורות ביותר - פעל לפי הנחיות ההסמכה, או לאבד את הפריבילגיה לצפות, להתחרות ולהבטיח חוזים עם משרד ההגנה. למרות שלא צוינו קנסות או עונשים, הפרת חוזה DOD קיים עלולה לגרום לנזקים כספיים או לתוצאות חמורות אחרות.

אתגרי תאימות CMMC

ניווט בין השכבות הרבות של תאימות אבטחה הוא לעתים קרובות מאמץ מייגע ועתיר זמן. מסגרת CMMC אינה יוצאת דופן. בנוסף ליישום מספר טכנולוגיות אבטחת סייבר, חברות נדרשות לייצר תיעוד הנוגע לתוכניות אימוץ, תהליכי ניהול IT שונים ומדיניות כוח אדם במהלך הביקורת. חברות קטנות ובינוניות, במיוחד, עשויות למצוא את זה מאתגר להפליא לפרוס את המשאבים הדרושים כדי לעמוד בדרישות הנוקשות של CMMC.

כמו בכל תוכנית ציות חדשה, האתגרים הדחופים ביותר ש-CMMC מציבה נוגעים לחוסר המודעות סביב המסגרת. זה נובע במידה רבה מהעובדה שחלק מההנחיות טרם הוגדרו. בנימה חיובית, ישנם שפע של משאבים בצורה של מסגרות קיימות של אבטחת סייבר וכלי הדרכה זמינים כדי לעזור לקבלנים להתכונן להערכה. על החברות המחפשות הסמכה לתכנן תוכנית משחק מלמעלה למטה שתתעדף את המודעות ל-CMMC, ובסופו של דבר מטפחת תרבות של ציות בכל הארגון.

הסבר על שכבות CMMC 2.0

מאז חשיפתו ב-2019, היו דיונים רבים סביב CMMC וההשלכות המשנות את המשחק שהוא מביא לידי ביטוי. כעבור שנתיים בערך, ה-DOD פרק עוד פצצה כשהכריז על גרסה חדשה ומשופרת של התקן. CMMC 2.0 הציג שינויים משמעותיים במסגרת המקורית, ובראשם השלבים הדרושים להשגת הסמכה.

עם חשיפתו הראשונית, CMMC הוגדרה בעיקר על ידי מודל מדורג המורכב מחמש רמות בגרות, שלכל אחת מהן סט קווים מנחים משלה. גרסה 2.0 מצמצמת את הדרישות על ידי קיצוץ מספר רמות ההסמכה לשלוש. השכבות השני והשלישי הוסרו מהמסגרת לחלוטין. יתר על כן, השכבות הנותרות זכו מחדש באופן ייחודי עם תוויות חדשות והוראות שהשתנו.

רמות בגרות של CMMC

דגם השכבות המחודש של CMMC עמוק יותר מהפחתות רמות וממוסכמות שמות ערמומיות. להלן הסבר מפורט על השינויים:

רמה 1 – יסודית: השינוי הבולט ביותר שמביאה CMMC 2.0 לקדמת הבמה הוא הסרת המנדט הקורא לקבלנים לעבור ביקורת צד שלישי בכל רמה על מנת לקבל הסמכה. לפי העדכונים, רמה 1 תדרוש מעתה הערכות עצמיות, שיבוצעו על בסיס שנתי, בנוסף לאישור שהקבלן העלה את התוצאות ל-Supplier Performance Risk System (SPRS), הפורטל מבוסס האינטרנט בו משתמש ה-DOD לזהות, לנטר ולנתח את התוצאות של הערכות מדווחות עצמיות.

רמה 1 מחייבת גם יישום של 17 אמצעי אבטחה שאומצו מ-NIST SP 800-171. תקנים אלה נחשבים לדרישות בסיסיות להגנה על מערכות IT של DIB.

רמה 2 - מתקדם: לפני CMMC 2.0, רמה 2 נתפסה במידה רבה כאמצעי למעבר לרמת הבשלות הבאה. ככזה, רמה 3 היא כעת בעצם רמה 2. רובד זה מחייב קבלנים ליישם 110 אמצעי אבטחה מ-NIST SP 800-171 ולפעול לפי המנדט ברמה 1 של הגשת תוצאות הערכה עצמית שנתית ל-SPRS. עם זאת, חברות המטפלות בנתונים ממשלתיים קריטיים הנוגעים לביטחון לאומי יידרשו לעבור ביקורת C3PAO כל שלוש שנים.

רמה 3 - מומחה: הקליטה לרמה 2 הפכה את רובד ה-CMMC השלישי לעבודה בתהליך. הדרישות הסופיות יפורסמו במועד מאוחר יותר. מה שנקבע הוא אימוץ חובה של כ-110 בקרות NIST SP 800-171 וכן תקנים נוספים מתוכניות תאימות שונות אחרות. חשוב מכך, הערכות רמה 3 יבוצעו על ידי הממשלה, במקום C3PAO.

בתור הרמה התובענית ביותר, רמה 3 שמה דגש משופר על תכנון ותיעוד. הקבלנים יידרשו להמציא תוכנית המדגימה את הבנתם בבקרות האבטחה הנדרשות. זה עשוי לכלול פרטים הנוגעים להליכי טיפול בנתונים, תוכניות הכשרה לעובדים, הפחתת סיכונים ולוחות זמנים לגיבוי, בין השאר.

חריגים ברמת CMMC

בעוד שהמערכת המדורגת נותרה גלגל שיניים חיוני במכונת ההסמכה של CMMC, ישנם חריגים לכללים שנקבעו. לדוגמה, קבלנים נבחרים עשויים להיות זכאים לקבל פטור המאפשר להם לוותר על דרישות הסמכה בכל רמה. ויתורים אלו חייבים להיות מאושרים על ידי הנהלת DOD והם תקפים למשך זמן קבוע מראש.

CMMC 2.0 גם יעניק לחברות מעין תקופת חסד להסמכה ברמה הרצויה להן. הרחבה זו מוגבלת לתרחישים שבהם תהליך ההערכה עלול לסכן פעולות קריטיות למשימה.

עלה על הרמה

ה-DOD עשה מאמץ משותף לייעל את תוכנית התאימות של CMMC. עם זאת, הדרך להסמכה תהיה ככל הנראה תהליך שלוקח זמן הדורש את מירב הכנה ותשומת לב לפרטים. ההבנה כיצד דרישות הרמה משפיעות על הארגון שלך היא צעד מכריע לאורך הדרך הארוכה הפוטנציאלית שלפנינו.