เพนตากอนจะสรุปผลและประกาศการเปลี่ยนแปลงโปรแกรม Cybersecurity Maturity Model Certification ในเร็วๆ นี้ เนื่องจากดูเหมือนว่าจะสร้างความสมดุลระหว่างการเพิ่มความปลอดภัยของฐานอุตสาหกรรมกลาโหมและการจัดการข้อกังวลด้านต้นทุนเกี่ยวกับโปรแกรมการตรวจสอบความปลอดภัยทางไซเบอร์ กระทรวงกลาโหมระบุ เจ้าหน้าที่การซื้อกิจการChristine Michienzi หัวหน้าเจ้าหน้าที่เทคโนโลยีของรองผู้ช่วยรัฐมนตรีกลาโหมสำหรับนโยบายอุตสาหกรรมกล่าวว่า DoD กำลังแก้ไขโปรแกรม CMMC อย่างต่อเนื่องตามข้อเสนอแนะจากอุตสาหกรรมและ “กิจกรรมของรัฐบาลภายใน”
แคธลีน ฮิกส์ รองรัฐมนตรีกระทรวงกลาโหมเปิดตัวการทบทวน
โครงการอย่างครอบคลุมเมื่อช่วงต้นฤดูใบไม้ผลินี้“เราเป็นอีกครั้ง รวมถึงข้อเสนอแนะจากภาคอุตสาหกรรมเพื่อให้แน่ใจว่านี่คือระบบที่จะเป็นระบบที่ดีที่สุดสำหรับแผนกและสำหรับอุตสาหกรรม เพื่อให้แน่ใจว่าทรัพย์สินทางปัญญาและความก้าวหน้าของเราได้รับการคุ้มครอง แต่จะไม่ เป็นภาระต่ออุตสาหกรรม เนื่องจากเราต้องทำให้แน่ใจว่าเรากำลังเป็นพันธมิตรและต่อสู้กับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ แต่ต้องทำในลักษณะที่เป็นประโยชน์ต่อเราทุกคน” มิเชียนซีกล่าวเมื่อวันจันทร์ระหว่างการประชุมที่จัดโดย AFCEA และหน่วยข่าวกรองและ แนวร่วมความมั่นคงแห่งชาติใน National Harbor, Maryland
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
โปรแกรม CMMC มีวัตถุประสงค์เพื่อรับรองแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของบริษัทฐานอุตสาหกรรมหลายแสนแห่ง บริษัทจะต้องผ่าน “ระดับ” ความปลอดภัยทางไซเบอร์ที่จำเป็นก่อนจึงจะสามารถชนะสัญญาได้ DoD วางแผนที่จะเริ่มเปิดตัวในปีนี้ก่อนที่จะมีการตรวจสอบ
โปรแกรมนี้มีความปลอดภัยทางไซเบอร์หลายระดับ
ตั้งแต่แนวทางปฏิบัติด้านความปลอดภัยขั้นพื้นฐานที่ระดับหนึ่งไปจนถึงความปลอดภัยทางไซเบอร์ขั้นสูงที่ระดับห้า เพนตากอนได้ลงนามในสัญญากับ CMMC “Accreditation Body” ซึ่งเป็นบุคคลที่สามที่เป็นอิสระซึ่งประกอบด้วยเจ้าหน้าที่ในอุตสาหกรรมเพื่อดูแลผู้ตรวจสอบที่จะรับรองแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ของธุรกิจ
แต่ Michienzi แนะนำว่าทุกแง่มุมของโปรแกรมกำลังได้รับการพิจารณาใหม่เป็นส่วนหนึ่งของการทบทวน
“ขณะนี้ทุกอย่างอยู่ระหว่างการทบทวนเพื่อให้แน่ใจว่านั่นคือกลไกที่ดีที่สุดที่เราสามารถใช้ได้ ผู้ตรวจสอบอิสระกับ [สำนักงานจัดการสัญญากลาโหม] กับการรับรองตนเองในระดับต่างๆ และระดับเหล่านั้นจำเป็นต้องเป็นอย่างไรเนื่องจากระดับเริ่มต้น ที่เปิดตัวอาจจะต้องกลับมาดูอีกครั้ง” เธอกล่าว
ผู้รับเหมาได้แจ้งข้อกังวลเกี่ยวกับความคลุมเครือของกระบวนการตรวจสอบ สภาอุตสาหกรรมเทคโนโลยีสารสนเทศ สมาคมอุตสาหกรรมป้องกันประเทศ และสภาบริการวิชาชีพรวมตัวกันเพื่อส่งจดหมายถึงเพนตากอนเมื่อสัปดาห์ที่แล้วเกี่ยวกับอนาคตของโครงการ CMMC และกฎระเบียบด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องซึ่งส่งผลต่อฐานอุตสาหกรรมป้องกันประเทศ (DIB)
“การขาดความชัดเจนในระหว่างกระบวนการตรวจสอบได้เพิ่มความไม่แน่นอนทั่วทั้ง DIB และในหมู่ผู้ค้าเชิงพาณิชย์ที่ต้องการจัดหาสินค้าเชิงพาณิชย์ที่ครอบคลุม” พวกเขาเขียน “ตัวอย่างเช่น การเปลี่ยนแปลง CMMC อาจส่งผลต่อไทม์ไลน์ ขอบเขต และวิธีการดำเนินการตามข้อกำหนดของโปรแกรม เมื่อพิจารณาถึงความไม่แน่นอนนี้ ผู้รับเหมา ผู้รับเหมาช่วง และซัพพลายเออร์อาจเลื่อนการลงทุนจำนวนมากเพื่อรอการติดต่อสื่อสารและมีความแน่นอนมากขึ้นเกี่ยวกับข้อกำหนดของโปรแกรม”
เมื่อถูกถามว่า บริษัทต่างๆ ควรเปลี่ยนแปลงสิ่งที่พวกเขากำลังทำในขณะที่รอผลการตรวจสอบหรือไม่ Michienzi กล่าวว่า พวกเขาไม่ควรทำ “การเปลี่ยนแปลงที่สำคัญใดๆ” โดยคำแนะนำจะออกมาในเร็วๆ นี้
“เราจะสรุปการเปลี่ยนแปลงใดๆ ต่อ CMMC ในเร็วๆ นี้ และเราจะแจ้งให้คุณทราบ” เธอกล่าว “แต่ฉันจะเดินต่อไปในแบบที่คุณเป็นจนกว่าจะถึงเวลานั้น เพราะยังจำเป็นต้องมีแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์อยู่ เพื่อให้พวกเขาตรวจสอบและรับรองผลในทางใดทางหนึ่ง”
