ด้วยงบประมาณจำนวนมาก กระทรวงกลาโหมจึงทำงานร่วมกับผู้รับเหมาหลากหลายประเภทที่มีบทบาทต่างๆ มากมาย ชุมชนที่ทำสัญญาเป็นตัวแทนของห่วงโซ่อุปทานที่สำคัญซึ่งสนับสนุนกองกำลังติดอาวุธของประเทศของเรา ให้บริการมากมายแก่รัฐบาลกลาง และพัฒนาระบบที่ฝังซอฟต์แวร์ รหัส และข้อมูลดิจิทัลที่เสี่ยงต่อการถูกประนีประนอมด้านความปลอดภัยเสี่ยงดังกล่าวเป็นแรงผลักดันเบื้องหลังกรอบ Cybersecurity Maturity Model Certification (CMMC) เปิดตัวในปี 2020 และอิงตามสถาบันมาตรฐานและเทคโนโลยีแห่งชาติด้วยข้อพิจารณาที่ได้รับจาก
Cyberspace Solarium Commission เป็นข้อกำหนดใหม่สำหรับผู้รับเหมา
ของรัฐบาลทุกรายที่ทำธุรกิจกับ DoD (โดยพื้นฐานแล้วคือฐานอุตสาหกรรมกลาโหม) เพื่อให้สอดคล้องกับ ชุดมาตรฐานความปลอดภัยทางไซเบอร์ที่กำหนดไว้ล่วงหน้า CMMC ใช้กับทั้งผู้รับเหมาหลักและผู้รับเหมาช่วง และยิ่งไปกว่านั้น ผู้รับเหมาจำนวนมหาศาล 300,000 รายขึ้นไปจะต้องได้รับการรับรอง
ทำไมตอนนี้?
สิ่งสำคัญคือต้องตรวจสอบไดรเวอร์ของการรับรองนี้และวัตถุประสงค์เบื้องหลังแบบจำลอง ในปี 2020 ผู้ตรวจราชการกระทรวงกลาโหมได้กำหนด ” ความท้าทายในการจัดการกระทรวงกลาโหมระดับสูง ” อันดับที่หกคือ “การเพิ่มประสิทธิภาพการดำเนินงานและความสามารถด้านไซเบอร์สเปซของ DoD” รายงานเน้นย้ำถึงอันตรายร้ายแรงของการโจมตีทางไซเบอร์ ทำให้ชัดเจนว่าศัตรูของเรากำลังโจมตี ไม่เพียงแต่เพื่อรวบรวมข้อมูลเท่านั้น แต่ยังแทรกซึมและขยายการเข้าถึงไปยังโครงสร้างพื้นฐานดิจิทัลของเราอย่างตั้งใจ
ตามรายงาน DoD Information Network (DODIN) ซึ่งเป็นเครือข่ายข้อมูล กระบวนการ และความสามารถที่ซับซ้อน ให้บริการ DoD ผ่านการเชื่อมต่อโครงข่ายดังกล่าว ข้อมูลได้รับการประมวลผล จัดเก็บ เผยแพร่ และจัดการสำหรับผู้ใช้หลายกลุ่ม
รวมถึงนักรบและผู้กำหนดนโยบายหลัก ตามที่ IG อธิบาย “DODIN
นั้นกว้างใหญ่และกระจัดกระจาย ประกอบด้วยระบบปฏิบัติการประมาณ 10,000 ระบบ ศูนย์ข้อมูลนับพัน เซิร์ฟเวอร์หลายหมื่นเครื่อง และคอมพิวเตอร์และอุปกรณ์เทคโนโลยีสารสนเทศหลายล้านเครื่องที่ส่วนใหญ่ล้าสมัย ซึ่งลดความสามารถของ DoDIN ในการ ปกป้องพวกเขาจากภัยคุกคามความปลอดภัยทางไซเบอร์”
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
DODIN ส่วนใหญ่ได้รับการสนับสนุนโดยผู้รับเหมาของรัฐบาล ดังนั้นรากฐานของ CMMC รูปแบบและกระบวนการรับรองเกิดจากความพยายามร่วมกันของผู้มีส่วนได้ส่วนเสียของ DoD จำนวนมาก เช่นเดียวกับเฟรมเวิร์กอื่น ๆ CMMC พยายามที่จะเรียกใช้แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ภายในระดับที่หนึ่งและสอง และในห่วงโซ่ซัพพลายเออร์ โดยเฉพาะอย่างยิ่ง โมเดลนี้เรียกร้องให้มีระดับของสุขอนามัยในโลกไซเบอร์ที่จะฝึกฝนแนวทางปฏิบัติที่ดีที่สุดเพื่อลดความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ในทุกที่ทั่วทั้งภูมิทัศน์ของ DODIN อันกว้างใหญ่ เนื่องจากผู้รับเหมาทุกประเภทเป็นองคมนตรีต่อข้อมูลและข้อมูลที่ละเอียดอ่อน แนวทางปฏิบัติทางไซเบอร์ที่ดีจึงพยายามปกป้อง “ข้อมูลสัญญาของรัฐบาลกลาง (FCI) และข้อมูลที่ไม่เป็นความลับที่ถูกควบคุม (CUI) ภายในเครือข่ายที่ไม่เป็นความลับ”
CMMC สร้างขึ้นจากมาตรฐานการได้มาซึ่งการป้องกันของรัฐบาลกลาง (252.204-7012) ที่แพร่หลายซึ่งควบคุมมาตรฐานทางไซเบอร์ที่ผู้รับเหมาด้านการป้องกันต้องปฏิบัติตามอยู่แล้ว การรับรองกำหนดมาตรฐานการปฏิบัติตามข้อกำหนดที่สูงขึ้น โดยกำหนดให้บริษัทตรวจสอบและตรวจสอบเพื่อให้แน่ใจว่าปฏิบัติตามนโยบายและแนวทางปฏิบัติที่กำหนดโดย CMMC
