信息來(lái)源:E安全
近日據(jù)外媒報(bào)道,上周美國(guó)BSA互聯(lián)網(wǎng)協(xié)會(huì)在致五角大樓高級(jí)官員的一封信中表示,國(guó)防部的網(wǎng)絡(luò)安全成熟度模型認(rèn)證計(jì)劃(CMMC)可能會(huì)與預(yù)期效果相反,并可能會(huì)帶來(lái)安全風(fēng)險(xiǎn),他們要求國(guó)防部對(duì)計(jì)劃中的一些問(wèn)題進(jìn)行澄清。
該協(xié)會(huì)在信函中代表了100多家公司,其中包括美國(guó)軟件聯(lián)盟,網(wǎng)絡(luò)安全聯(lián)盟,信息技術(shù)行業(yè)委員會(huì),CompTIA和數(shù)字創(chuàng)新聯(lián)盟。
據(jù)悉,該互聯(lián)網(wǎng)協(xié)會(huì)在致國(guó)防部采購(gòu)和維持事務(wù)部國(guó)防部長(zhǎng)艾倫·洛德的信中表示,“我們擔(dān)心,目前實(shí)施的CMMC計(jì)劃在關(guān)鍵領(lǐng)域缺乏足夠的清晰度和可預(yù)測(cè)性經(jīng)驗(yàn),可能會(huì)造成不必要的制度混亂和額外開(kāi)銷(xiāo), 如果不對(duì)該問(wèn)題加以解決,這些問(wèn)題可能導(dǎo)致網(wǎng)絡(luò)安全性降低”。
美國(guó)部分公司在信中表達(dá)了他們的擔(dān)憂,由于國(guó)防部表示將開(kāi)始實(shí)施CMMC計(jì)劃,因此私營(yíng)部門(mén)需要關(guān)注國(guó)防部是如何解決在認(rèn)證過(guò)程中存在的嚴(yán)重問(wèn)題和不確定性因素的。其中,兩家公司寫(xiě)道:“考慮到DIB的風(fēng)險(xiǎn),我們意識(shí)到在計(jì)劃實(shí)施之前解決這些問(wèn)題是存在困難的,以目前的實(shí)施速度,除非在關(guān)鍵領(lǐng)域繼續(xù)致力于改善CMMC,否則該計(jì)劃可能會(huì)限制行業(yè)科技競(jìng)爭(zhēng)并減少政府使用新技術(shù)的機(jī)會(huì)”。
BSA互聯(lián)網(wǎng)協(xié)會(huì)最后還表示,CMMC中的某些控件其實(shí)比較適用于傳統(tǒng)模型,但不一定適用于現(xiàn)代大規(guī)模的基礎(chǔ)架構(gòu),嚴(yán)格遵守這些控制措施實(shí)際上可能會(huì)為高安全性和高可用性的控制措施帶來(lái)新的風(fēng)險(xiǎn)。國(guó)防部應(yīng)該考慮并結(jié)合IT行業(yè)的反饋意見(jiàn),這將有助于確保DoD優(yōu)化實(shí)施結(jié)構(gòu)的合理性,我們隨時(shí)準(zhǔn)備著協(xié)助國(guó)防部?jī)?yōu)化CMMC的有效性。
目前,五角大樓官員正在全面啟動(dòng)CMMC計(jì)劃,以確保對(duì)國(guó)防工業(yè)基地的承包商能夠?qū)嵤┻m當(dāng)?shù)木W(wǎng)絡(luò)安全控制。與此同時(shí),國(guó)防承包商也在證明自身對(duì)CMMC計(jì)劃條例的遵守,例如美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院出版的800-171特別刊物中就提及了計(jì)劃的相關(guān)條例,CMMC將要求獨(dú)立第三方審核員在供應(yīng)商與DOD開(kāi)展業(yè)務(wù)之前驗(yàn)證該公司的合規(guī)性。
國(guó)防部官員也表示,CMMC計(jì)劃將作為252.204.7012規(guī)則內(nèi)容添加到《國(guó)防聯(lián)邦采購(gòu)條例》補(bǔ)編中,并將于春季開(kāi)放供公眾征詢(xún)。他們還表示,對(duì)于CMMC計(jì)劃國(guó)防部正在緩慢地推進(jìn),并強(qiáng)調(diào)CMMC要到2026年才能全面實(shí)施。