Nadchodzą nowe przepisy federalne, które będą wymagały, żebyś przeszedł audyt cyberbezpieczeństwa, by pracować dla Departamentu Obrony. Z czasem oczekuje się, że inne agencje federalne i ostatecznie Organy państwowe i lokalne przyjmą podobne, jeśli nie te same zasady
Innymi słowy, jeśli nie możesz udowodnić, że jesteś chroniony przed cyberzagrożeniami i włamaniami, w końcu zostaniesz wykluczony z licytowania prac rządowych, w tym DOT, infrastruktury i prac budowlanych. I nie zdziw się, jeśli w przyszłości podmioty prywatne i firmy ubezpieczeniowe wymagają takich samych zabezpieczeń.
Aktualizacja regulaminu
W ostatnich latach rząd federalny w ogóle, a w szczególności Departament Obrony, zaczęły wymagać od głównych wykonawców, podwykonawców, producentów, dostawców i każdego podmiotu w łańcuchu dostaw wdrożenia standardów cyberbezpieczeństwa, mówi Jordan Howard, counsel, federal construction and regulatory affairs w Associated General Contractors of America. Najważniejsze z tych wymagań to NIST SP 800-171, Cybersecurity Maturity Model Certification (CMMC) oraz Sekcja 889 część B.
CMMC został wprowadzony w 2018 roku jako wymóg we wszystkich ofertach Departamentu Obrony. Jego celem było zapewnienie jednolitego standardu cyberbezpieczeństwa wszystkim wykonawcom, podwykonawcom i firmom w łańcuchu dostaw, mówi Howard. Zgodnie z tym modelem wykonawcy obronni musieliby być certyfikowani przez zewnętrznego certyfikatora (C3PAO), aby kwalifikować się do składania ofert na kontrakty DoD, mówi Howard.
Ale pięć różnych poziomów i inne szczegóły CMMC okazały się zbyt skomplikowane i nieporęczne. Pierwotna propozycja została złomowana i przerobiona. W listopadzie 2021 roku Departament Obrony ogłosił nowy i Ulepszony CMMC 2.0. Wśród tych zmian są:
- Zmniejszenie liczby firm, które wymagałyby oceny stron trzecich
- Zmniejszenie ocen CMMC z 5 poziomów do 3 poziomów
- Zawieszanie programów pilotażowych CMMC do czasu zatwierdzenia ostatecznego Rozporządzenia
- Umożliwienie corocznej samooceny dla niektórych poziomów
- Przywracanie planów działania i kamieni milowych (POAM) zamiast ocen.
„Jesteśmy bardzo wdzięczni, że Departament Obrony zrobił krok wstecz i ponownie to zrobił”, mówi Howard. „Oryginalny program był bardziej kijem niż marchewką. Ale wykonawcy rozumieją znaczenie cyberbezpieczeństwa znacznie lepiej niż dziesięć lat temu i nie potrzebują kija, aby ich przekonać.”
Trzy poziomy bezpieczeństwa w CMMC 2.0 zależą od stopnia narażenia na poufne lub niejawne informacje rządowe.
- Poziom 1 jest najniższym poziomem bezpieczeństwa i ma 17 praktyk, których należy przestrzegać. Certyfikację można uzyskać poprzez roczną samoocenę.
- Poziom 2 wymaga 110 praktyk zgodnych z NIST SP-800-171 i wymaga ocen zewnętrznych co trzy lata dla krytycznych informacji dotyczących bezpieczeństwa narodowego oraz rocznej samooceny dla wybranych programów.
- Poziom 3 wymaga ponad 110 praktyk opartych na NIST SP-800-172 i wymaga ocen prowadzonych przez rząd co trzy lata.
Poziom, na którym musisz być certyfikowany, zależy od narażenia na informacje rządowe i prawdopodobnie zostanie podany w zapytaniu ofertowym lub dokumentach ofertowych dotyczących projektu.
- Wykonawcy, którzy mają dostęp, tworzą lub posiadają Federalne informacje o umowach (FCI), czyli informacje nieprzeznaczone do publicznej wiadomości, będą assessed na poziomie 1.
- Wykonawcy, którzy tworzą, posiadają lub mają dostęp do informacji uznawanych za kontrolowane informacje niesklasyfikowane (CUI), czyli informacji, które muszą być chronione lub wymagają kontroli rozpowszechniania, zostaną wyznaczeni jako Poziom 2 lub wyższy.
- Poziom 3 jest prawdopodobnie nieistotny dla wykonawców budowlanych i ma więcej wspólnego z firmami pracującymi nad takimi rzeczami jak atomowe okręty podwodne i ściśle tajne programy Wojskowe.
Uzyskanie oceny
Wymagania CMMC 2.0 Level 1 są bardziej podstawowe i są to rodzaje rzeczy, które większość firm miałaby w celu ochrony własnych systemów i informacji, mówi Matt Gilbert, dyrektor w Baker Tilly. Szczegóły związane z samooceną nie są jeszcze ujawnione, ale prawdopodobnie będą proste i łatwe do opanowania, mówi.
Koszt ocen poziomu 2, przeprowadzonych przez certyfikowanych asesorów, pozostaje do zobaczenia, mówi Gilbert. Do określenia kosztów przyczynia się wiele czynników, w tym złożoność otoczenia firmy, liczba systemów i lokalizacji oraz dostępność rzeczoznawców.
Aby przeprowadzić ocenę poziomu 2, zespół musiałby poświęcić kilka dni na planowanie, a następnie około tygodnia na przeprowadzenie oceny, a czas na podsumowanie i raportowanie, mówi. „Spodziewałbym się, że od początku do końca będzie to wielotygodniowy wysiłek”, mówi Gilbert ” jeśli potrzebujesz certyfikacji, początkowo nie będzie to szybki zwrot. Sugerowałbym co najmniej rozpoczęcie procesu zatrudniania C3PAO dwa lub trzy miesiące przed tym, kiedy jest to wymagane”, mówi.
Certyfikacja asesora
C3PAOs są zarejestrowane i zatwierdzone przez Cyber AB (wcześniej znaną jako jednostka akredytująca CMMC), mówi Gilbert. Ważne jest, aby zrozumieć ich dostępność i znajomość podobnych firm. „Kontekst może mieć ważną rolę w osądach i ocenach, które dokonuje asesor, więc znalezienie asesora, który rozumie twoją firmę, jest mądre, mówi.
Lepsze dla budownictwa
Zredukowana złożoność CMMC 2.0 obniży koszty dla wykonawców, zwiększając jednocześnie nadzór nad profesjonalnymi i etycznymi standardami dla rzeczoznawców zewnętrznych. Umożliwia również firmom w pewnych okolicznościach tworzenie planów działania i kamieni milowych (POA&M) w celu uzyskania certyfikacji. Departament Obrony bada również możliwości zachęt dla wykonawców, którzy dobrowolnie uzyskają certyfikat CMMC w okresie przejściowym, zanim CMMC 2.0 stanie się prawem.
„AGC przejęła inicjatywę w tej kwestii, ponieważ zdajemy sobie sprawę z znaczenia cyberbezpieczeństwa. To bardzo ważne dla naszego bezpieczeństwa narodowego, konkurencyjności gospodarczej i ochrony naszych podatków, że mamy te solidne narzędzia”, mówi Howard.
Bądź ostrożny przy zakupie telefonów i innego sprzętu technicznego
„Sekcja 889 część B” oryginalnej propozycji CMMC, która prawdopodobnie pozostanie w nowej wersji, zabrania agencjom federalnym zawierania, przedłużania lub odnawiania umowy z wykonawcą, który wykorzystuje sprzęt, system lub usługę od nieautoryzowanych dostawców, takich jak chińskie firmy Huawei lub ZTE. Zasada ta prawdopodobnie rozszerzy zakres tego zakazu o filie, rodziców i filie głównych kontrahentów, mówi Howard.
Godne uwagi cyberataki w budownictwie
- Kanadyjska firma Bird Construction została zaatakowana przez ransomware w grudniu 2019 roku. Cyberprzestępcy żądali $ 9,000,000 (Kanadyjski) iwymiana n do odszyfrowania 60GB danych, które trzymali dla okupu.
- W maju 2021 r. Colonial Pipeline z Houston w Teksasie doznał ataku ransomware i został zmuszony zapłacić hakerom powiązanym z Rosją, znanym jako DarkSide, 4,4 miliona dolarów. Atak zainfekował niektóre systemy komputerowe rurociągów i zmusił je do wyłączenia na kilka dni.
- W jednym z największych naruszeń bezpieczeństwa w historii, mechaniczny wykonawca sklepów docelowych przypadkowo zostawił otwarte tylne drzwi komputera. Dało to cyberprzestępcom dostęp do skomputeryzowanych baz danych firmy, którzy następnie ukradli 40 milionów numerów kart kredytowych. Target został zmuszony zapłacić 18,5 miliona dolarów grzywny i zadośćuczynienia.
- W maju 2020 BAM Construct z siedzibą w Wielkiej Brytanii zamknął niektóre swoje systemy komputerowe po padnięciu ofiarą cyberataku. Rzecznik Bam powiedział, że firma „stanęła dobrze” po tym, jak hakerzy uzyskali dostęp do części systemów informatycznych firmy. Firma odebrała kilka swoich witryn offline, a także dodała dodatkowe zabezpieczenia, aby chronić się przed przyszłymi atakami.