กระทรวงกลาโหมต้องการใช้ โปรแกรม Cybersecurity Maturity Model Certification ซึ่ง มีการถกเถียง กันมาก เพื่อให้แน่ใจว่าผู้ขายทุกรายดำเนินการในระดับขั้นต่ำของแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้าใจกันทั่วไป เพื่อให้สามารถปกป้องห่วงโซ่อุปทานของตนได้ แต่เจ้าหน้าที่กลาโหมมองว่า CMMC เป็นวิธีการตรวจสอบด้านต่างๆ ของห่วงโซ่อุปทานที่ไม่เกี่ยวกับความปลอดภัยทางไซเบอร์อย่างเคร่งครัด
DoD คาดว่าผู้รับเหมาหลายหมื่นรายจะได้รับการรับรอง CMMC
ในอีกห้าปีข้างหน้า แต่เพื่อให้ได้มาซึ่งระดับพื้นฐานที่สุดแห่งหนึ่งของ CMMC แต่ละบริษัทจะต้องมีการเยี่ยมชมแบบตัวต่อตัวจากผู้ประเมินที่เป็นบุคคลที่สาม การเยี่ยมชมเหล่านั้นมีจุดประสงค์หลักเพื่อให้ผู้ตรวจสอบสามารถตรวจสอบได้ว่าบริษัทต่างๆ ได้ดำเนินการตามแนวทางปฏิบัติด้านความปลอดภัยที่จำเป็นสำหรับระดับการรับรองแล้ว เนื่องจากจะไม่อนุญาตให้มีการรับรองด้วยตนเอง
แต่มีเหตุผลอีกประการหนึ่งที่ DoD ต้องการสายตามนุษย์สำหรับผู้สมัคร CMMC แต่ละคน: แผนกต้องการให้แน่ใจว่าแต่ละ บริษัท ที่ได้รับการรับรองนั้นเป็น บริษัท จริงที่มีพนักงานจริง
Katie Arrington เป็นผู้ช่วยพิเศษของผู้ช่วยรัฐมนตรีกระทรวงกลาโหมด้านการได้มาซึ่งไซเบอร์ในสำนักงานภายใต้รัฐมนตรีกระทรวงการได้มาและความยั่งยืนใน DoD
“เราจำเป็นต้องซื้อความเสี่ยงของการเป็นเจ้าของชาวต่างชาติ และเราจำเป็นต้องซื้อความเสี่ยงของบริษัทเชลล์ที่ไม่มีอยู่จริง” Katie Arrington หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ DoD สำหรับการซื้อกิจการกล่าวเมื่อวันพฤหัสบดีระหว่างฟอรัมออนไลน์ที่จัดโดย AFCEA . “ดังนั้นการตรวจสอบทางกายภาพจะทำให้แน่ใจว่าเรากำลังตรวจสอบสถานะของเราเพื่อซื้อความเสี่ยงนั้น ไม่ว่าจะมีผลิตภัณฑ์อะไร เราก็ต้องมีมนุษย์อยู่เสมอ คุณคงไม่อยากเอามนุษย์ออกจากวงจร”
CX Exchange ของ Federal News Network: เข้าร่วมกับเรา
ในช่วงบ่ายสองวันที่ 26 และ 27 เมษายน ซึ่งเราจะสำรวจเทคโนโลยี นโยบาย และกระบวนการที่สนับสนุนความพยายามของหน่วยงานในการให้บริการสาธารณะ ธุรกิจ และเจ้าหน้าที่ของรัฐอย่างมีประสิทธิภาพมากขึ้น
Arrington กล่าวว่าความน่าดึงดูดใจของ CMMC ในฐานะเครื่องมือในการทำความเข้าใจห่วงโซ่อุปทานของแผนกให้ดียิ่งขึ้นนั้นได้รับความสนใจมากขึ้นในช่วงการระบาดของ COVID-19 เนื่องจากปัญหาการขาดแคลนได้เน้นย้ำให้เห็นถึงการพึ่งพาซัพพลายเออร์จากต่างประเทศของประเทศ
เธอกล่าวว่านั่นเป็นเหตุผลหนึ่งที่แม้ในช่วงแรกของ CMMC แผนกมีแผนที่จะกำหนดให้ต้องได้รับการรับรองในสัญญาบางสัญญาจากผู้รับเหมารายใหญ่เท่านั้น แต่ยังรวมถึงซัพพลายเออร์ชั้นหนึ่งด้วย ในกรณีส่วนใหญ่ ซัพพลายเออร์เหล่านั้นจะต้องมีใบรับรองระดับหนึ่ง
“มีความท้าทายในห่วงโซ่อุปทานของเราที่คุณอาจไม่รู้ ฝ่ายตรงข้ามของเรากำลังซื้อซัพพลายเออร์รายสำคัญสำหรับผู้ผลิตแล้วตัดการจัดหา เราต้องมั่นใจว่าพวกเขาเป็นบริษัทที่ดีที่จะร่วมธุรกิจกับคุณ นั่นเป็นอีกครั้งว่าทำไม CMMC ถึงอยู่ที่นั่น” เธอกล่าว “เราสามารถตรวจสอบความเป็นเจ้าของของชาวต่างชาติได้ เราสามารถตรวจสอบได้ว่าพวกเขามีสิ่งที่ถูกต้องทั้งหมดเพื่อที่คุณจะไม่กลายเป็นคนอ่อนแอ นั่นคือสิ่งที่แย่ที่สุดสำหรับผู้ผลิต: คุณต้องมีวัตถุดิบในการผลิต คุณเซ็นสัญญาเพื่อรับสิ่งนั้น และดึงออกมาจากข้างใต้คุณ แล้วคุณก็ไม่สามารถพัฒนาและผลิตให้กับลูกค้าของคุณได้ เรารู้ว่ามีบางคนที่จะพูดว่า ‘โอ้ เยอะจัง’ แต่ฉันคิดว่าในสิ่งที่เกิดขึ้นกับโควิด มีการตื่นขึ้นครั้งใหม่ว่าทำไมพวกเขาถึงต้องการสิ่งนี้”
ปัจจุบัน แผนกคาดว่าค่าใช้จ่ายของการรับรอง CMMC ระดับหนึ่งจะอยู่ที่ 3,000 ดอลลาร์ต่อบริษัท และแต่ละรายการจะมีอายุ 3 ปี การรับรองที่มีรายละเอียดมากขึ้นในระดับ 2 ถึง 5 อาจมีค่าใช้จ่ายสูงกว่า แต่ในแต่ละกรณี บริษัทจะได้รับอนุญาตให้เรียกเก็บค่าใช้จ่ายเหล่านั้นกับรัฐบาลเป็น “ค่าใช้จ่ายที่อนุญาต”
