ภายหลังจากการเปิดตัวอย่างเป็นทางการของความพยายามในการรับรองรูปแบบการพัฒนาความปลอดภัยในโลกไซเบอร์ของกระทรวงกลาโหม สมาคมอุตสาหกรรม 6 แห่งเตือนว่าหากไม่มีความชัดเจน ความคิดริเริ่มอาจล้มเหลวได้ได้สรุปชุดคำแนะนำสำหรับวิธีการปรับปรุงโปรแกรม CMMC ก่อนที่จะดำเนินการจริง“เรากังวลว่าแผนปัจจุบันสำหรับการดำเนินการ CMMC ขาดความชัดเจนเพียงพอและคาดการณ์ได้ในพื้นที่สำคัญ และผลที่ตามมาอาจสร้างความสับสน ความล่าช้า แล
ค่าใช้จ่ายที่เกี่ยวข้องโดยไม่จำเป็น ความท้าทายเหล่านี้อาจทำให้
Defence Industrial Base (DIB) มีความปลอดภัยน้อยลงไปอีก หากปล่อยไว้โดยไม่แก้ไข” จดหมายระบุ “เราสนับสนุนอย่างยิ่งต่อความพยายามในการปรับปรุงความปลอดภัยทางไซเบอร์ของ DIB และขอขอบคุณที่แผนกเปิดกว้างในการประชุมและยอมรับข้อมูลจากภาคอุตสาหกรรมเกี่ยวกับ CMMC ในช่วงฤดูใบไม้ร่วงปี 2019 เราให้คำมั่นที่จะสานต่อความร่วมมือนี้ เนื่องจากผู้มีส่วนได้ส่วนเสียในอุตสาหกรรมและรัฐบาลต้องทำงานต่อไป ร่วมกันเพื่อให้แน่ใจว่า CMMC บรรลุวัตถุประสงค์โดยรวม”
เซ็น MOU แล้ว
จดหมายฉบับนี้มีขึ้นในขณะที่ DoD และ CMMC Accreditation Board ได้ลงนามในบันทึกความเข้าใจตามโพสต์บน LinkedIn โดย Arrington เมื่อวันที่ 25 มีนาคม เพื่อเริ่มโครงการอย่างเป็นทางการ รวมถึงการฝึกอบรมสำหรับผู้ประเมินบุคคลที่สามและการเปิดตัวของ เอกสารที่จำเป็นเพื่อช่วยให้ผู้ขายเตรียมตัวให้เป็นไปตามมาตรฐาน
Insight by Tanium: เอเจนซีกำลังฝึกฝนวิธีที่ดีที่สุดในการรักษาความปลอดภัยซอฟต์แวร์และมองเห็นซัพพลายเออร์ได้ดีขึ้น เราพูดคุยกับผู้นำจาก DoD, FDA, GSA, NASA และรัฐเพื่อเปิดเผยว่าหน่วยงานต่าง ๆ ตอบสนองความต้องการในการมองเห็นแนวทางปฏิบัติทางไซเบอร์ของผู้ขายได้อย่างไร
คณะกรรมการประกาศว่ากำลังพยายามให้ข้อมูลเพิ่มเติมเกี่ยว
กับ MOU ซึ่งเป็นชิ้นส่วนสุดท้ายในการเริ่มต้นการผลักดันหกเดือนเพื่อนำ มาตรฐาน CMMC ไปใช้ ในการจัดซื้อจัดจ้าง DoD เผยแพร่มาตรฐานเวอร์ชัน 1เมื่อปลายเดือนมกราคม และตั้งแต่นั้นมาอุตสาหกรรมก็รอขั้นตอนต่อไป
พ.ต.อ.ไมค์ แอนดรูวส์ โฆษกเพนตากอนจะไม่ยืนยันว่ามีการลงนามในบันทึกข้อตกลงแล้ว แม้ว่าอาร์ริงตันจะโพสต์บน LinkedIn ก็ตาม
“CMMC ยังคงมีความสำคัญเป็นอันดับต้นสำหรับแผนก และ Ms. Katie Arrington ยังคงทำงานอย่างใกล้ชิดกับหน่วยงานรับรองและอุตสาหกรรม เราไม่มีอะไรจะประกาศใน MOU วันนี้ เราไม่คาดว่าจะได้รับผลกระทบใด ๆ ต่อไทม์ไลน์ CMMC เนื่องจาก COVID-19 แต่ด้วยแนวทางการเว้นระยะห่างทางสังคม เราจึงเลื่อนกิจกรรมสาธารณะออกไป” แอนดรูว์กล่าวในอีเมล
แต่ถึงแม้จะมี MOU และการทำงานกับภาคอุตสาหกรรมมากว่าหนึ่งปี หกสมาคม ซึ่งเป็นตัวแทนของบริษัทเทคโนโลยีที่ใหญ่ที่สุดหลายแห่ง ก็ยังกล่าวว่ายังมีสิ่งที่ไม่ทราบจำนวนมากเกินไป และเวลาเหลือน้อย หาก DoD ยังวางแผนที่จะนำร่อง CMMC ด้วยการจัดซื้อจัดจ้าง 10 รายการในฤดูใบไม้ร่วงนี้ .
Gordon Bitko รองประธานอาวุโสฝ่ายนโยบายภาครัฐของสภาอุตสาหกรรมเทคโนโลยีสารสนเทศ (ITI) ซึ่งเป็นหนึ่งในสมาคมอุตสาหกรรมที่ลงนามในจดหมายฉบับนี้ และอดีต CIO ของ FBI กล่าวว่าความกังวลหลายอย่างของพวกเขาไม่ใช่เรื่องใหม่ และเพนตากอนก็ตระหนักดี ส่วนที่ขาดหายไปหลายส่วนที่ร่างจดหมาย
Gordon Bitko เป็นรองประธานอาวุโสฝ่ายนโยบายภาครัฐที่ Information Technology Industry Council (ITI)
“สิ่งเหล่านี้บางอย่างมีนัยสำคัญสำหรับหลายบริษัทในอุตสาหกรรมเทคโนโลยีที่พยายามเล่นปาหี่ รวมถึง FedRAMP และข้อกำหนดอื่นๆ” Bitko กล่าวในการให้สัมภาษณ์ “เราอยู่ที่ไหน DoD เข้าใจสิ่งที่เราถามและตกลงว่าพวกเขาจำเป็นต้องเข้ามาตอบคำถาม แต่เมื่อเราเข้าใกล้วันที่มากขึ้น อุตสาหกรรมยังคงมองหาคำตอบอยู่”
Bitko กล่าวว่าข้อกังวลหลายอย่างสามารถแก้ไขได้ในระยะสั้น แต่ที่น่าเป็นห่วงก็คือ หาก DoD เดินไปตามเส้นทางของ CMMC มากเกินไปโดยไม่แก้ไข การแก้ไขอาจเจ็บปวดมากกว่าการทำให้ถูกต้องในครั้งแรก
