หวังว่าจะได้หายใจร่วมกันจากปี 2019 ที่วุ่นวาย ปีใหม่มีอะไรมากมายสำหรับผู้รับเหมาและซัพพลายเออร์ของรัฐบาลกลาง ในขณะที่เรารอปี 2020 เพื่อส่งมอบโครงการริเริ่มมากมายที่เปิดตัวในปี 2019 การพัฒนาจำนวนหนึ่งกำลังเคาะประตูแล้ว ก่อนปีใหม่จะก้าวย่างเต็มที่ ผู้รับเหมาของรัฐบาลกลาง—โดยเฉพาะผู้ที่อยู่ในชุมชน DIB—ควรดำเนินการทันทีเพื่อทำความเข้าใจโครงการริเริ่มทางไซเบอร์และซัพพลายเชนที่สำคัญดังต่อไปนี้
การรับรองรูปแบบการพัฒนาความปลอดภัยทางไซเบอร์
ปี 2019 เป็นจุดเปลี่ยนในทัศนคติของกระทรวงกลาโหมต่อความปลอดภัยทางไซเบอร์ในฐานอุตสาหกรรมกลาโหม ผ่านโปรแกรม Cybersecurity Maturity Model Certification (CMMC) DoD ตั้งใจที่จะแทนที่แผนและคำสัญญาด้วยการรับรองและเกรดความปลอดภัยทางไซเบอร์ของบริษัท 300,000 แห่งที่ประกอบกันเป็นซัพพลายเชนด้านการป้องกัน
กำหนดการดำเนินการเชิงรุกของ DoD เรียกร้องให้มีการยืนหยัดในเดือนนี้ซึ่งจะฝึกอบรมและอนุญาตให้องค์กรบุคคลที่สามเริ่มตรวจสอบและรับรอง บริษัท ถึงหนึ่งในห้าระดับวุฒิภาวะของ CMMC
เดือนมกราคมยังเป็นเป้าหมายของ DoD ในการเปิดตัวการควบคุม CMMC เวอร์ชันสุดท้าย ซึ่งจะเป็นพื้นฐานสำหรับระดับวุฒิภาวะห้าระดับดังกล่าว และกำหนดสัญญาสำหรับระดับ CMMC ที่จะมีผลบังคับใช้ในฤดูใบไม้ร่วงปี 2020
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงไปสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
ด้วยกรอบเวลาที่จำกัด ผู้รับเหมาฝ่ายป้องกัน ผู้รับเหมาช่วง และบริษัทในห่วงโซ่อุปทานจะต้องประเมินการปฏิบัติตามการควบคุมในแต่ละระดับอย่างรวดเร็วเพื่อเตรียมพร้อมสำหรับการตรวจสอบและการรับรองที่จะตามมาในปีหน้า
ในการเตรียมพร้อมสำหรับ CMMC ผู้รับเหมาของรัฐบาลกลางควร:
ประเมินการปฏิบัติตามข้อกำหนดด้านความปลอดภัยในโลกไซเบอร์ด้วยตนเอง (เช่น ภายใต้ DFARS 242.7012 และ NIST SP 800-171)
พิจารณาว่าคุณจะได้รับการรับรองในระดับสูงสุดของ CMMC หรือไม่และอย่างไร (เช่น ระดับ 4 และ 5 ของแบบจำลองวุฒิภาวะ)
แคตตาล็อกและวิเคราะห์ความสัมพันธ์ของผู้รับเหมาช่วงเพื่อระบุและประเมินข้อกำหนดการรับรองที่อาจเกิดขึ้น
เริ่มกลยุทธ์การกู้คืนต้นทุนที่เกี่ยวข้องกับ CMMC
ความปลอดภัยของห่วงโซ่อุปทาน
การดำเนินการด้านกฎหมายและข้อบังคับจำนวนมากในปี 2561 และ 2562 ได้วางรากฐานสำหรับการเปลี่ยนแปลงที่สำคัญในห่วงโซ่อุปทานทั่วโลกในปี 2563
ล่าสุด ในช่วงใกล้ปี 2019 มีการเปิดเผยกฎระเบียบที่ได้รับการคาดหมายอย่างมากซึ่งใช้คำสั่งฝ่ายบริหารที่ 13873 ของประธานาธิบดีทรัมป์เมื่อวันที่ 15 พฤษภาคม 2019 ว่าด้วยการรักษาความปลอดภัยเทคโนโลยีสารสนเทศและการสื่อสารและบริการซัพพลายเชน
ในขณะที่อุตสาหกรรมกำลังรอการตอบสนองของกระทรวงพาณิชย์ต่อความคิดเห็นของอุตสาหกรรม การพัฒนาห่วงโซ่อุปทานอีกสองรายการควรได้รับความสนใจจากชุมชนผู้ทำสัญญาของรัฐบาลในระยะเวลาอันใกล้นี้
กฎเหล่านี้รวมถึงกฎที่รอคอยมานาน (และน่ากลัวมาก) ซึ่งใช้ระยะที่สองของมาตรา 889 ของพระราชบัญญัติการอนุญาตการป้องกันประเทศ (NDAA) ปี 2019 และกฎระเบียบที่คาดว่าจะนำมาตรฐานการจัดการความเสี่ยงด้านซัพพลายเชนของรัฐบาลไปใช้ ตลอดจนขั้นตอนการยกเว้นและการนำออกภายใต้ชื่อเรื่อง II ของ SECURE Technology Act ปี 2018 ได้แก่ Federal Acquisition Supply Chain Security Act ปี 2018
มาตรา 889 – ข้อห้าม “ใช้”
ด้วยข้อยกเว้นแคบๆ บางประการ มาตรา 889 ของ NDAA ปี 2019 ห้ามอย่างกว้างๆ ในการจัดหาและใช้งานโดยหน่วยงานสาขาระดับบริหารและผู้รับจ้างในอุปกรณ์และบริการโทรคมนาคมและกล้องวงจรปิดที่ผลิตโดยบริษัทจีน 5 แห่ง (ซึ่งอาจมีชื่ออื่นๆ อีก) บริษัทเหล่านี้รวมถึง Huawei Technologies Company, ZTE Corporation, Hytera Communications Corporation, Dahua Technology Company, Hangzhou Hikvision Digital Technology Company และบริษัทย่อยหรือบริษัทในเครือดังกล่าว
กฎหมายมีผลบังคับใช้ในสองระยะ บางครั้งเรียกว่าการห้าม “จัดซื้อจัดจ้าง” และห้าม “ใช้” ตามลำดับ ระยะแรกของมาตรา 889 มีผลบังคับใช้ในวันที่ 13 สิงหาคม 2019 ห้ามการซื้อโดยหน่วยงานบริหารสาขาของอุปกรณ์และบริการโทรคมนาคมและกล้องวงจรปิดที่ครอบคลุม
