Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Charles IT-oprichter, Foster Charles, praat over CMMC 2.0 te midden van DoD-regelgeving

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 85
Foster Charles van Charles IT

Negen van de 13 verzekeringsmaatschappijen die we volgen, schrijven geen polis tenzij u MFA heeft. Hetzelfde geldt voor CMMC 2.0 - en een actieplan en mijlpalen (POA&M) worden niet geaccepteerd als u niet over de basisvaardigheden beschikt, zoals training in MFA, antivirus en beveiligingsbewustzijn. – Foster Charles, oprichter en CEO, Charles IT

MIDDLETOWN, Connecticut (PRWEB) 27 maart 2023

Het ministerie van Defensie (DoD) heeft de nieuwe Cybersecurity Maturity Model-certificering aangekondigd, CMMC 2.0, in november 2021. De wijziging kwam nadat was vastgesteld dat het oorspronkelijke CMMC 1.0-model te omslachtig en verwarrend was voor aannemers. De bedoeling blijft echter hetzelfde: ervoor zorgen dat de aannemers van de Defense Industrial Base (DIB) de juiste maatregelen en procedures hebben om gevoelige informatie te beschermen, inclusief gecontroleerde niet-geclassificeerde informatie (CUI) en federale contractinformatie (FCI).

Wat belangrijk is om te begrijpen, is dat CMMC 2.0 eigenlijk niets nieuws is. De vereisten zijn gebaseerd op het National Institute of Standards and Technology (NIST) SP 800-171 en zijn rechtstreeks afgestemd op het Defense Federal Acquisition Regulation Supplement (DFARS), dat al enige tijd vereist is.

Waar het om gaat, is hoe strikt u deze best practices voor IT-beveiliging implementeert, aangezien de nieuwe regelgeving in 2023 streng zal worden gehandhaafd. Om succesvol te zijn, moeten aannemers hun benadering van naleving veranderen, anders lopen ze het risico lucratieve contracten mis te lopen of hoge boetes op te lopen.

Veranderingen op hoog niveau in CMMC 2.0

CMMC 1.0 was bedoeld om verschillende beveiligingsvereisten samen te voegen tot één nalevingsstandaard voor de federale overheid. Hoewel de bedoeling goed was, waren de regels erg ingewikkeld. CMMC 2.0 is een vereenvoudiging van CMMC 1.0 — waardoor het voor DIB-aannemers veel gemakkelijker wordt om naleving te bereiken om de federale defensiebeveiliging te verbeteren.

Niveau één vereist een zelfbeoordeling van 17 best practices, vergelijkbaar met het cyberbeveiligingsraamwerk (CSF) van NIST. Niveau twee komt overeen met NIST SP 800-171 en vereist certificering van een CMMC Third Party Assessment Organization (C3PAO). Ten slotte moeten DIB-aannemers die met uiterst geheime informatie omgaan, naleving van niveau drie bereiken op basis van NIST 800-172.

CMMC 2.0 verwijdert vereisten die niet zijn opgenomen in NIST SP 800-171 om het bereiken en afdwingen van naleving praktischer te maken. Het dekt ook DIB-onderaannemers om de veiligheid in de hele toeleveringsketen te waarborgen, aangezien meer kwaadwillende actoren zich richten op kleinere bedrijven die contracten sluiten met industriereuzen (bijv. Lockheed Martin). “Hackers krijgen misschien maar één stukje CUI van één leverancier. Maar als ze er een aantal op elkaar stapelen, kunnen ze een vrij compleet beeld krijgen - zo worden geheimen gelekt. CMMC 2.0 gaat over het beveiligen van staatsgeheimen”, zegt Charles.

Cyberoorlogvoering is de nieuwste zorg, en om goede redenen. Bedreigers kunnen bijvoorbeeld een cyberaanval op infrastructuur lanceren (bijvoorbeeld de Colonial Pipeline-aanval) en vervolgens profiteren van de verlengde downtime om een ​​meer verwoestende fysieke aanval uit te voeren - die de hele natie tot stilstand zou kunnen brengen.

Wat is de belangrijkste conclusie van deze wijzigingen en wat moet u weten wanneer u uw processen bijwerkt?

Een belangrijk doel van CMMC 2.0 is om duidelijkheid te brengen en complexiteit weg te nemen. Het vereist bijvoorbeeld om de drie jaar een certificering door een derde partij (in plaats van een jaarlijkse beoordeling) voor naleving van niveau twee en drie.

Bovendien zijn de procedures eenvoudiger te begrijpen, zodat u zich kunt concentreren op het up-to-date krijgen van uw beveiligingspostuur.

Hoe CMMC 2.0 voordelen biedt aan DIB-aannemers

CMMC 2.0 zorgt voor een betere bescherming van CUI om datalekken en spionage te voorkomen. Het versterkt de nationale veiligheid en helpt beschermen tegen aanvallen in de toeleveringsketen of door de staat gesponsorde aanvallen. Begrijp echter dat het ook DIB-aannemers in hun bedrijfsvoering ten goede komt: “De maakindustrie loopt ver achter op het gebied van IT en beveiliging. Bedrijven voeren nog veel processen handmatig uit, wat erg onveilig is. Hun slechte IT-beveiligingshygiëne leidt vaak tot kostbare ransomware en andere aanvallen. CMMC 2.0 dwingt deze aannemers om goede zakelijke gewoonten aan te nemen die uiteindelijk goed zijn voor hun organisaties”, zegt Charles.

De gedachte aan nog een andere regeling kan intimiderend zijn. Het goede nieuws is dat de helft van CMMC 2.0 al in NIST SP 800-171 zit – waarin cyberbeveiligingspraktijken worden beschreven die DIB-aannemers al zouden moeten volgen, bijvoorbeeld door antivirussoftware te gebruiken, multi-factor authenticatie (MFA) te implementeren en alle CUI in kaart te brengen en te labelen .

Het is van cruciaal belang dat bedrijven niet eens een cyberbeveiligingsverzekering kunnen krijgen zonder veel van de maatregelen te implementeren die in CMMC 2.0 worden beschreven. “Negen van de 13 verzekeringsmaatschappijen die we volgen, zullen geen polis schrijven tenzij je MFA hebt. Hetzelfde geldt voor CMMC 2.0 — en een Plan van Aanpak en Mijlpalen (POA&M) worden niet geaccepteerd als je niet over de basisvaardigheden beschikt, zoals training in MFA, antivirus en beveiligingsbewustzijn', zegt Charles.

CMMC 2.0 is een noodzakelijke stap voorwaarts voor de hele defensie-industrie om vanuit technologisch perspectief op snelheid te komen.

Waarom het belangrijk is om uw aanpak te veranderen

Zoals eerder vermeld, is de meest voorkomende misvatting over CMMC 2.0 dat het een nieuwe nalevingsstandaard is, terwijl dat in feite niet zo is.

De andere cruciale misvatting is dat veel aannemers ervan uitgaan dat ze kunnen wachten tot de CMMC 2.0-uitspraak is goedgekeurd voordat ze actie ondernemen. Veel aannemers onderschatten hoeveel tijd het kost om hun beveiligingsstatus te evalueren, herstelmaatregelen te implementeren en hun beoordeling door derden te krijgen. Sommigen schatten ook verkeerd in hoe technisch achter hun systemen en processen zitten en welke investering nodig is om naleving te bereiken. Het is ook essentieel om te onthouden dat het voldoen aan deze normen coördinatie met leveranciers vereist, wat enige tijd kan duren. “Veel aannemers zien de complexiteit van hun toeleveringsketens en het aantal externe leveranciers dat ze gebruiken over het hoofd. U kunt bijvoorbeeld ontdekken dat enkele leveranciers nog steeds Windows 7 gebruiken en weigeren te upgraden. Je zou dus in de problemen kunnen komen als je leveranciers niet compliant zijn en je moet wachten tot ze hun technologie hebben geüpgraded', zegt Charles.

Er zijn ook problemen met cloud-compliance, benadrukt Charles. Veel aannemers realiseren zich ook niet dat ze CUI op geen enkele cloud kunnen verwerken - uw platform moet zich op een Fedramp medium of Fedramp high cloud bevinden. In plaats van Office 365 moet u bijvoorbeeld Microsoft 365 Government Community Cloud High (GCC High) gebruiken.

Voorbereiding op CMMC 2.0

Begin zo snel mogelijk met de voorbereidingen als je dat nog niet hebt gedaan en verwacht dat het proces een jaar of twee zal duren. CMMC 2.0 zal waarschijnlijk in 2023 in werking treden en zodra dit het geval is, zal het binnen 60 dagen op alle contracten verschijnen. Je kunt het je niet veroorloven om tot het laatste moment te wachten.

Met andere woorden, aannemers zullen gebaat zijn bij een gevoel van urgentie. “Compliance in één keer behalen kan een grote schok zijn voor een organisatie en haar dagelijkse bedrijfsprocessen. Ik raad aan om een ​​assessment uit te voeren en een meerjarige roadmap te ontwerpen”, zegt Charles. Dit plan moet antwoord geven op vragen als: Welke machines/hardware moet u vervangen? Welke externe leveranciers hebben upgrades nodig? Hebben ze plannen om dat de komende drie jaar te doen?”

Het indienen van een systeembeveiligingsplan (SSP) is essentieel voor CMMC 2.0-compliance. Het SSP is ook een essentieel document dat a beheerde dienstverlener (MSP) kan gebruiken om uw bedrijf te helpen met compliance. Het scoreformulier geeft een overzicht van de beveiligingsvereisten van CMMC en helpt u een overzicht te krijgen van de upgrades die u nodig heeft. "Het eerste dat ik meestal vraag, is 'weet jij je SSP-score?'", zegt Charles. Andere bedrijven zijn misschien nog niet zo ver. In dat geval kan Charles IT voor onze klanten een gap- of risicoanalyse uitvoeren als eerste stap naar het schrijven van een SSP en een plan van aanpak en mijlpalen (POA&M). "We noemen het een gap assessment. We moeten weten hoe diep het water is, dan zullen we het lokaliseren en hen helpen een SSP te schrijven”, adviseert Charles.

Als u een relatief volwassen beveiligingshouding heeft en de nieuwste best practices op het gebied van cyberbeveiliging volgt, duurt het bereiken van CMMC 2.0-compliance ongeveer zes tot negen maanden. Zo niet, dan zou je naar een tijdlijn van 18 maanden kunnen kijken. Nogmaals, wacht niet tot er een contract op tafel ligt — ga nu aan de slag om te voorkomen dat u bedrijven verliest.

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.