การตรวจสอบระดับสูงของ Pentagon เกี่ยวกับใบรับรอง Cybersecurity Maturity Model Certification ยังคงดำเนินต่อไป แต่เจ้าหน้าที่มีความตั้งใจที่จะจัดการกับข้อกังวลของธุรกิจขนาดเล็กเกี่ยวกับค่าใช้จ่ายในการปฏิบัติตามกฎระเบียบ รวมถึงการเปลี่ยนแปลงอื่นๆ ในโครงการที่มีการถกเถียงกันมากJesse Salazar รองผู้ช่วยรัฐมนตรีกลาโหมด้านนโยบายอุตสาหกรรม กล่าวว่า การทบทวนกำลังช่วยปรับแต่งแผนการดำเนินการสำหรับ CMMC ด้วย “เป้าหมายกว้างๆ” สามประการ Salazar ซึ่งได้รับการแต่งตั้งจากประธานาธิบดี Joe Biden เมื่อต้นฤดูใบไม้ผลินี้ เพิ่งรับหน้าที่กำกับดูแล CMMC
“ประการแรก เรามุ่งเน้นไปที่การจัดการต้นทุนด้านความปลอดภัย
ทางไซเบอร์สำหรับธุรกิจขนาดเล็ก” Salazar กล่าวเมื่อวันที่ 22 มิถุนายนระหว่างการประชุม Federal Acquisition Conference ของ Professional Services Council “ฉันตระหนักดีว่าธุรกิจขนาดเล็กอยู่ภายใต้แรงกดดันจากตลาดอย่างมาก”
ข้อมูลเชิงลึกโดย Eightfold: ค้นพบว่าข้อมูล เทคโนโลยี และกลยุทธ์การสรรหาใหม่ช่วยให้ USDA, EPA, GSA, NASA และ NIH ประสบความสำเร็จในการแข่งขันหาผู้มีความสามารถได้อย่างไร โดยเฉพาะอย่างยิ่งเมื่อเป็นเรื่องของเทคโนโลยีขั้นสูง วิทยาศาสตร์ และตำแหน่งอื่น ๆ ที่ยากต่อการบรรจุ
เขาอ้างถึงจำนวนธุรกิจขนาดเล็กในฐานอุตสาหกรรมการป้องกันที่ลดลงกว่า 40% ในทศวรรษที่ผ่านมา การปฏิบัติตาม CMMC อาจบีบให้บริษัทต่างๆ ออกจากธุรกิจกลาโหมมากขึ้น ซึ่งเป็นประเด็นที่ผู้ผลิตอุปกรณ์อิเล็กทรอนิกส์ ให้ความสำคัญล่าสุด
“เป้าหมายของเราคือการลดต้นทุนในขณะที่ปกป้องความปลอดภัยทางไซเบอร์ของธุรกิจเหล่านี้” Salazar กล่าวโดยไม่ได้เพิ่มรายละเอียดเพิ่มเติมเกี่ยวกับแผนการที่จะทำเช่นนั้น
ในขณะเดียวกัน Matthew Travis ประธานเจ้าหน้าที่บริหารของ CMMC Accreditation Body ซึ่งพูดในภายหลังในระหว่างการประชุม PSC กล่าวว่าหน่วยงานและกระทรวงกลาโหมกำลังหารือเกี่ยวกับทางเลือกต่าง ๆ สำหรับการช่วยเหลือธุรกิจขนาดเล็กด้วยการรับรอง
“เราหวังว่าเราจะสามารถอยู่ในจุดที่ไม่ว่าจะทำงานร่วม
กับกลไกที่มีอยู่ในแผนก โปรแกรม Trusted Capital หรือที่อื่น ๆ ที่เราจะสามารถให้เงินช่วยเหลือหรือเงินกู้ที่ให้อภัยได้สำหรับบริษัท DIB ที่เล็กที่สุดเหล่านี้เพื่อช่วยเหลือ พวกเขาทำการลงทุนเหล่านั้นเพื่อให้ได้พื้นฐานที่จำเป็นในการได้รับการรับรอง” ทราวิสกล่าว “ทั้งหมดนี้อยู่ในหมวดความคิดที่ดี ตอนนี้ ยังไม่มีแผน แต่แน่นอนว่าเราอยู่ที่ [หน่วยรับรองมาตรฐาน] กำลังพิจารณาว่าเครื่องมือใดที่เราสามารถจัดหาได้ เมื่อพิจารณาจากตำแหน่งที่เราครอบครองและบทบาทที่เรามี เพื่อช่วยธุรกิจขนาดเล็ก”
นอกเหนือจากความกังวลของธุรกิจขนาดเล็ก Salazar กล่าวว่าเป้าหมายที่สองของการตรวจสอบของ DoD คือการชี้แจงกฎระเบียบทางไซเบอร์และข้อกำหนดในการทำสัญญา กระทรวงกลาโหมเผยแพร่กฎการเข้าซื้อกิจการระหว่างกาลที่ใช้ CMMC เมื่อปีที่แล้ว แต่อุตสาหกรรมได้ตั้งคำถามว่าโปรแกรมการกำกับดูแลนั้นเหมาะสมกับกฎอื่น ๆ อีกมากมายที่ควบคุมความปลอดภัยทางไซเบอร์และห่วงโซ่อุปทานได้อย่างไร
“เราต้องการขจัดความขัดแย้งและปรับปรุงเพื่อเพิ่มความชัดเจน” ซัลลาซาร์กล่าว
ประเด็นสำคัญประการที่สามและประการสุดท้ายสำหรับเจ้าหน้าที่ของ DoD คือการ “เสริมสร้างความไว้วางใจและความเชื่อมั่นในระบบนิเวศการประเมิน CMMC ที่สุกงอม” Salazar กล่าว
CMMC Accreditation Body อนุญาตองค์กรประเมินบุคคลที่สามแห่งแรก (C3PAO) เมื่อต้นเดือนนี้ แต่ผู้สมัคร C3PAO มากกว่า 150 คนกำลังรอการรับรอง ตามเว็บไซต์ Accreditation Body องค์กรดังกล่าวพร้อมกับผู้ประเมินแต่ละคนเป็นส่วนสำคัญในโครงการที่คาดการณ์ว่าสักวันหนึ่งจะมีการรับรองแนวทางปฏิบัติด้านความปลอดภัยในโลกไซเบอร์ของผู้รับเหมาหลายแสนรายในฐานอุตสาหกรรมการป้องกันประเทศ“แผนกต้องมั่นใจว่าเราสามารถปฏิบัติตามข้อกำหนดของเราได้ผ่านผู้ประเมินที่เพียงพอ” Salazar กล่าว “เรายังกำหนดบทบาทและความรับผิดชอบ มาตรฐานการปฏิบัติ และกลไกการตรวจสอบอย่างชัดเจนภายในระบบนิเวศการประเมินภายนอก”
ขณะที่เขาดูตัวอย่างการทบทวน CMMC ซัลลาซาร์ไม่ได้ให้ลำดับเวลาสำหรับการสรุปผลและการเผยแพร่ แคธลีน ฮิกส์ รองรัฐมนตรีกลาโหมกำกับการตรวจสอบในเดือนมีนาคม
Sen. Joe Manchin (DW.V.) ประธานคณะอนุกรรมการความปลอดภัยทางไซเบอร์ของ Armed Services กล่าวระหว่างการพิจารณาคดีเมื่อเดือนที่แล้วว่าเขาคาดว่า Hicks จะทำการ “แก้ไขที่สำคัญ” กับโปรแกรม
แต่ Salazar ดังที่เขาได้กล่าวไว้ก่อนหน้านี้ กล่าวว่าการประเมินภายใน “เป็นเรื่องปกติสำหรับโครงการสำคัญๆ เพื่อช่วยเราปรับแต่งนโยบายและการดำเนินโครงการของเรา”
Travis ยังเน้นย้ำว่าหน่วยงานรับรองกำลังก้าวไปข้างหน้าในขณะที่รอการตัดสินใจของ DoD จากการทบทวน
