มาตั้งค่ากันตรงๆ: Cybersecurity Maturity Model Certification หรือ CMMC หน่วยงานรับรองไม่ได้เป็นส่วนหนึ่งของกระทรวงกลาโหมจากความเข้าใจผิดทั้งหมดเกี่ยวกับ CMMC Chris Golden อดีตสมาชิกของ CMMC accreditation body และผู้อำนวยการด้านความปลอดภัยข้อมูลของ Blue Cross, Blue Shield กล่าวว่านั่นคือสิ่งที่เขาได้ยินมากที่สุดดังนั้น 18 เดือนในการพัฒนาและเปิดตัว CMMC โกลเด้นกล่าวว่าอุตสาหกรรมและหน่วยงานยังคงต้องเข้าใจว่าเหตุใดความคิดริเริ่มนี้จึงมีความสำคัญมาก
: เข้าร่วมกับเราในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี
นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
“เรากำลังสูญเสียทรัพย์สินทางปัญญาจำนวนมากในฐานะประเทศให้กับศัตรูของเราผ่านช่องว่างในแนวทางปฏิบัติด้านความปลอดภัยในโลกไซเบอร์และวุฒิภาวะตลอดห่วงโซ่อุปทาน และตอนนี้มันมุ่งเน้นไปที่ห่วงโซ่อุปทานของ DoD แต่มันจะดับลงอย่างรวดเร็ว” โกลเด้นกล่าวในการให้สัมภาษณ์ “ถ้าคุณดูเครื่องบิน F-35 ของกองทัพอากาศ กองทัพเรือ นาวิกโยธิน แล้วคุณดูเครื่องบิน J-31 ของจีน แล้วคุณสงสัยว่าทำไมเครื่องบินพวกนั้นถึงหน้าตาเหมือนกันหมด? คุณสงสัยว่ามันเกิดขึ้นได้อย่างไร นั่นคือปัญหาที่เรากำลังพยายามแก้ไข”
Golden กล่าวว่าแนวคิดที่อยู่เบื้องหลัง CMMC และการรักษาความปลอดภัยของซัพพลายเชนในวงกว้างมากขึ้น กำลังเปลี่ยนแปลงวัฒนธรรมของบริษัทไปพร้อมกัน
“ในขณะที่แต่ละบริษัททำการประเมิน พวกเขากำลังจะดีขึ้นเล็กน้อย และหวังว่าครั้งต่อไปที่พวกเขาได้รับการประเมิน พวกเขาจะดีขึ้นเล็กน้อย” เขากล่าว “เรากำลังจะเปลี่ยนวัฒนธรรมอย่างช้าๆ โดยบริษัทต่างๆ จะเริ่มมองโลกไซเบอร์เหมือนกับที่พวกเขามองทรัพยากรมนุษย์
คนส่วนใหญ่ที่เริ่มต้นบริษัทไม่ใช่ผู้เชี่ยวชาญเกี่ยวกับกฎหมายแรงงานในท้องถิ่น
รัฐบาลกลางและรัฐ แล้วพวกเขาจะทำอย่างไร? พวกเขาจ้างผู้เชี่ยวชาญเพื่อช่วยจัดตั้งสำนักงานฝ่ายทรัพยากรบุคคลเพื่อจัดการเรื่องทั้งหมดนั้นเพื่อให้พวกเขาทำทุกอย่างให้ถูกต้องเพื่อไม่ให้พวกเขาติดคุก ไซเบอร์จะต้องถูกมองว่าเป็นสิ่งเดียวกัน เป็นเพียงส่วนหนึ่งของการทำธุรกิจในองค์กรระดับโลกสมัยใหม่ สิ่งที่เราพยายามทำคือพยายามเข้าถึงจุดที่ผู้คนไม่ลืมหรือล้างบาป หรืออะไรก็ตามที่เป็นกรณีนี้
การเปลี่ยนแปลงวัฒนธรรมนั้นต้องเกิดขึ้นกับบริษัทฐานอุตสาหกรรมป้องกันมากกว่า นี่คือเหตุผลที่ Department of Homeland Security และ General Services Administration เริ่มพิจารณาว่าจะใช้ CMMC ได้อย่างไร
แนวทางของรัฐบาลทั้งหมดกำลังมา
Golden กล่าวว่าเขาเชื่อว่า CMMC จะออกนอกกรอบของ DoD อย่างแน่นอน แต่จะยังคงกำหนดเมื่อใดและอย่างไร
“พวกเขาเข้าใจว่ากำลังสูญเสียข้อมูล สูญเสียความสามารถจากการละเมิดทางไซเบอร์ในห่วงโซ่อุปทาน เหมือนกับที่ DoD เป็น และพวกเขาจำเป็นต้องทำอะไรบางอย่างเกี่ยวกับเรื่องนี้” เขากล่าว “ผมคิดว่าคุณจะเห็นขั้นตอนการประสานงานบางอย่างระหว่างหน่วยงานหลักในรัฐบาล แนวทางของรัฐบาลทั้งหมด แต่เมื่อใด อย่างไร หรือใคร ผมไม่มีข้อมูลเชิงลึกในเรื่องนี้”
Golden และคนอื่นๆ จะนำเสนอข้อมูลเชิงลึกเพิ่มเติมเกี่ยวกับ CMMC และวิธีเตรียมตัวสำหรับผู้ขายในการสัมมนาผ่านเว็บในวันที่ 10 กุมภาพันธ์ซึ่งสนับสนุนโดย Washington Cyber Roundtable
Theresa Payton ซีอีโอของ Fortalice Solutions และอดีตหัวหน้าเจ้าหน้าที่ฝ่ายข้อมูลของทำเนียบขาวกล่าวว่าการโจมตี SolarWinds ล่าสุดทำให้หน่วยงานและธุรกิจตระหนักถึงความจำเป็นในการปกป้องห่วงโซ่อุปทานมากขึ้น