隨著新一代網(wǎng)絡安全成熟度模型認證(CMMC)授權(quán)的15份合同的截止日期臨近,美國五角大樓方面明確表示,這僅是個開始,未來他們計劃對至少1500家承包商及分包商進行網(wǎng)絡安全成熟度認證。
美國防部負責采購與維護的副部長辦公室CISO Katie Arrington談即將實施的網(wǎng)絡安全成熟度模型認證。
美國防部負責采購與維護的副部長辦公室CISO Katie Arrington表示,“我們充分信任(承包商),同時也需要認證。這是國防部一個全新的開始。正如我們多年來一直所強調(diào)的那樣,網(wǎng)絡安全是一切采購決策的基礎。我們將說到做到?!毕嚓P(guān)規(guī)則將于今年12月1日起對新的合同正式生效??紤]到美國商業(yè)及軍事網(wǎng)絡遭到敵對方攻擊、秘密被其竊取等嚴重后果,她強調(diào)“我們之所以這樣做,是因為這對我們的商業(yè)乃至國家安全至關(guān)重要?!?/p>
Arrington還提到,她和她的團隊將繼續(xù)推進,“CMMC將持續(xù)發(fā)展,我們絕不會止步。我們將在數(shù)天之內(nèi)完成過渡,直到臨時規(guī)則發(fā)揮效力?!?/p>
在此次INSA會議發(fā)言當中,她還提到接下來國防部將強制推行新的網(wǎng)絡安全合同規(guī)則,以確保整個員工隊伍建立能力基準,同時嚴格遵守美國家標準技術(shù)研究所(NIST)與國防部相關(guān)標準。
Arrington強調(diào),“臨時規(guī)則一經(jīng)制定,我們就在密切籌備作為首批試點項目的15份合同。”這15份合同將通過網(wǎng)絡安全過渡對承包商提供的方案進行驗證。預計未來至少將有1500家承包商及分包商參與首批項目,而且將全部接受相應的網(wǎng)絡安全認證。
首批15份合同涵蓋國防部下轄多個機構(gòu),包括美國運輸司令部以及網(wǎng)絡司令部等,同時涉及導彈防御局等所謂“第四等級”機構(gòu)。各份合同的數(shù)額與復雜程度有所不同,認證工作計劃在2021財年內(nèi)實行 。
根據(jù)先前的建議,只要一家企業(yè)能夠符合部分110 NIST標準條款,并宣稱將致力于遵守其余條款,即可參與競標。換言之,企業(yè)在競爭國防部合同時,并不必充分證明自身的合規(guī)性。
Arrinton指出,“CMMC則設定了明確的通過/未通過標準。經(jīng)過審計之后,相關(guān)企業(yè)要么為L1級,要么不符合要求。”其目標是為所有能夠在客觀上滿足安全能力要求的企業(yè)擁有公平的競爭起點。這樣,五角大樓也可以自動將安全成本納入合同,不必擔心可能在選擇當中引入與合規(guī)性要求相沖突的供應商。
對于合規(guī)性標準較高的重大合同,CMMC規(guī)則還要求合同內(nèi)容明確指定各分包商是否需要達到相同的合規(guī)性水平,或者會根據(jù)不同分包商所觸及信息的實際敏感度為其指定更確切的具體合規(guī)性要求。
這套建立在認證基礎之上的全新網(wǎng)絡安全機制,意味著五角大樓終于可以擺脫種種多年以來難以解決的漏洞修復難題,甚至徹底消除此類威脅到整個供應鏈的簡單錯誤與安全缺陷。
Arrington提到,“很多人沒有變更默認密碼、沒有采用雙因素驗證、沒有適當做出文檔標記。這一切都會給我們的供應鏈造成危害?!倍魏稳源嬖谶@些問題的供應商,未來都很難再從五角大樓這邊拿到項目。