Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Manufacturing Technology >> Industriële technologie

Top 6 vragen over de CMMC

Wat fabrikanten moeten weten

Cybersecurity is geen nieuw onderwerp in de maakindustrie. Vanaf het moment dat aangesloten apparatuur, innovatieve software en geavanceerde robotsystemen hun weg naar de werkvloer begonnen te vinden, kwam cyberbeveiliging aan de orde. Cybersecurity haalde de krantenkoppen naast Industry 4.0-artikelen, maar het geroezemoes van flitsende nieuwe technologieën domineerde het gesprek.

Fabrikanten hebben de neiging om cyberbeveiliging op een laag pitje te zetten. Dit zal voor velen geen optie meer zijn. De maakindustrie staat consequent in de top 5 van sectoren die het meest kwetsbaar zijn en het doelwit zijn van cyberaanvallen. De sectoren Gezondheidszorg, Financiële Diensten en Overheidsinstellingen worden allemaal aan een hogere standaard gehouden als het gaat om compliance en risicobeheer op het gebied van beveiliging. De maakindustrie is nog niet op een hoger niveau gehouden en daardoor nog kwetsbaarder voor cybercriminaliteit.

De Cybersecurity Maturity Model Certification (CMMC) heeft gevolgen voor de branche en hieronder staan ​​de 6 cruciale vragen die fabrikanten moeten stellen.

Wat is de CMMC?

CMMC staat voor Cybersecurity Maturity Model Certification. Deze certificering heeft een unieke benadering om ervoor te zorgen dat kritieke intellectuele eigendom veilig blijft. In eerste instantie is CMMC alleen vereist voor fabrikanten en leveranciers die Controlled Unclassified Information (CUI) voor het ministerie van Defensie (DoD) verwerken.

De Cybersecurity Maturity Model Certification (CMMC) is de methode om te certificeren dat de juiste niveaus van cyberbeveiligingsprocessen en -bescherming aanwezig zijn voor de ongeveer 300.000 aannemers en onderaannemers in de DoD-toeleveringsketen. Het CMMC-proces vereist nu een CMMC Third Party Assessment Organization (C3PAO) om te certificeren dat bedrijven een klacht indienen en dat CUI veilig is.

Er zijn 5 volwassenheidsniveaus die deel uitmaken van de CMMC, die variëren van "Basic Cybersecurity Hygiene" tot "Advanced/Progressive". Naarmate het volwassenheidsniveau toeneemt, nemen ook de regels en richtlijnen toe die een bedrijf moet volgen om gecertificeerd te worden en compliant te blijven.

Waarom wordt de CMMC gemaakt?

Het ministerie van Defensie erkende cyberaanvallen als een aanzienlijke bedreiging, vooral voor de kleine tot middelgrote onderaannemers die de grotere primeurs ondersteunen. Slechte actoren erkenden dat de primeurs meer middelen besteedden om aanvallen te voorkomen en dat hun toeleveringsketen een gemakkelijker doelwit was. De National Institute of Standards and Technology (NIST) Special Publication (SP) 800-171 cyberbeveiligingsvereisten zijn ontwikkeld om gevoelige informatie te beschermen voor aannemers die samenwerken met het ministerie van Defensie (DoD) om te voldoen aan het Defense Federal Acquisition Regulation Supplement (DFARS) 252.204 -7012 clausule. Toen de DoD schatte dat slechts een klein percentage van de toeleveringsketen aan deze richtlijnen voldeed, werd de Cybersecurity Maturity Model Certification (CMMC) gecreëerd.

Cyberaanvallen zijn helaas een alledaags verschijnsel. “Nu meer dan 80 procent van de nationale defensie-informatie op de netwerken van partners leeft, is het niet langer een gesprek over wat u doet of wat ik doe; het is belangrijker wat we als collectief doen om de nationale defensie te beschermen', zegt Katie Arrington, speciale assistent van de adjunct-secretaris van Defensie voor acquisitie voor Cyber, en een van de belangrijkste voorstanders van de CMMC.

In december 2018 hebben Chinese hackers naar verluidt informatie gestolen van marinecontractanten, waaronder onderhoudsgegevens van schepen en raketplannen. Deze acties vormen een directe bedreiging voor de nationale veiligheid. Zelfs als een grote DoD-leverancier als Lockheed Martin een hoogwaardig cyberbeveiligingsprogramma heeft, moet elke onderaannemer en leverancier in de DoD-toeleveringsketen zichzelf ook beschermen, anders worden ze een toegangspoort voor cybercriminelen. Slechts één zwakke schakel in de DoD-toeleveringsketen kan het hele land in gevaar brengen.

Heeft mijn bedrijf de CMMC nodig?

Elk bedrijf zou moeten investeren in het versterken van zijn cyberbeveiliging. Volgens de Radware Survey bedragen de geschatte kosten per cyberaanval $ 4,6 miljoen 1 . 13% van de deelnemers aan de enquête maakte een cyberaanval mee die hun bedrijf 10 miljoen dollar of meer kostte, een cijfer dat tussen 2018 en 2019 in slechts één jaar tijd verdubbelde. De experts op het gebied van cyberbeveiliging van het New Jersey Manufacturing Extension Program (NJMEP) suggereren dat elke fabrikant profiteren van het bereiken van het equivalent van "Intermediate Cyber ​​Hygiene", of niveau 2 van de CMMC als best practice. Voor DoD-aannemers hangt het volwassenheidsniveau af van waar in de DoD-toeleveringsketen een bedrijf valt.

Het identificeren van welke van de vijf CMMC-volwassenheidsniveaus een DoD-leverancier, onderaannemer of fabrikant moet naleven, wordt bepaald door de hoofdaannemer van het DoD of kan worden ontdekt via een CMMC-gapanalyse. Alle leveranciers, onderaannemers of fabrikanten die enig werk doen, hoe minimaal ook, met het DoD hebben een bepaald niveau van de CMMC nodig, maar het volwassenheidsniveau zal verschillen afhankelijk van de informatie die bedrijven verwerken en het werk dat wordt uitgevoerd.

Als een Defense Industrial Base (DIB)-bedrijf niet beschikt over gecontroleerde niet-geclassificeerde informatie (CUI) maar wel over federale contractinformatie (FCI), moet het voldoen aan FAR-clausule 52.204-21 en moet het minimaal CMMC-niveau 1 hebben.

Wanneer moet ik het certificeringsproces starten?

Nutsvoorzieningen. DoD-leveranciers, onderaannemers en fabrikanten moeten zo snel mogelijk beginnen met het proces om CMMC te worden om het risico te voorkomen dat kritieke DoD-contracten verloren gaan. Van begin tot eind kan het proces meer dan een jaar duren. In juni 2020 verscheen CMMC op RFI's. Bedrijven kunnen vanaf september 2020 RFP's verwachten waarin CMMC wordt vermeld en beoordelingen in de herfst van 2020.

Nu handelen en samenwerken met een adviseur die goed bekend is met de CMMC en het raamwerk waaruit de CMMC is voortgekomen, NIST 8001-171, zal van vitaal belang zijn. Certificering begint met een beoordeling om te bepalen waar in het CMMC-volwassenheidsniveau een organisatie zich momenteel bevindt. De volgende stap zou zijn om een ​​diepgaande gap-analyse uit te voeren en vervolgens over te gaan op full-service sanering. Elk CMMC-volwassenheidsniveau kost een andere hoeveelheid tijd en moeite. Als u echter zo snel mogelijk begint, zal dit de last voor het bedrijf, het leiderschap en het personeel verminderen.

Wat gebeurt er als ik niet gecertificeerd word?

Voor DoD-aannemers, onderaannemers, leveranciers of fabrikanten...

Het bereiken van het noodzakelijke CMMC-niveau kan het verschil betekenen tussen het wel of niet veiligstellen van dat volgende DoD-contract. DoD-hoofdaannemers zullen beginnen te eisen dat alle onderaannemers zich aan deze cruciale nieuwe regels houden. Elke fabrikant die zich niet aan deze richtlijnen houdt en het juiste CMMC-niveau bereikt, zal niet in staat zijn DoD-activiteiten voort te zetten.

Voor niet-DoD-fabrikanten...

Vanaf nu zijn DoD-aannemers de enigen die het risico lopen om DoD-werk te verliezen als ze de CMMC niet verwerven. Kleine tot middelgrote fabrikanten lopen echter altijd het risico dat een cyberaanval hun bedrijf volledig verlamt, soms tot het punt waarop ze financieel nooit meer kunnen herstellen. Deze certificering biedt niet-DoD-fabrikanten een fantastische basislijn voor cyberbeveiliging en best practices. Afhankelijk van de resultaten van een cybersecurity assessment kan een bedrijf bepalen welk volwassenheidsniveau het beste bij hem past.

Wie kan al mijn andere vragen over de CMMC beantwoorden?

Het verwerven van de CMMC kan een uitdaging zijn, zeker zonder de juiste ondersteuning. De certificering staat nog in de kinderschoenen, wat een moeilijke omgeving creëert voor fabrikanten om zelfstandig te navigeren. Het verkennen van websites zoals acq.osd.mil/cmmc/faq.html of het samenwerken met consultants zoals NJMEP zijn de beste manieren om te beginnen en zullen helpen om een ​​ontmoedigend proces om te zetten in een gestroomlijnde toegevoegde waarde voor elk bedrijf.

Het kan intimiderend zijn om inzicht te krijgen in de CMMC, welke bedrijven worden beïnvloed, wanneer te handelen en het bepalen van het vereiste volwassenheidsniveau. Ga er niet alleen voor. Cybersecurity is essentieel, maar kan complex zijn. Werken met het juiste team en toegang hebben tot de juiste informatie zal van onschatbare waarde blijken.

Wees voorzichtig

Er zijn zoveel vragen over dit onderwerp en zoveel ontwikkelingen tijdens de uitrol. In het begin waren er veel bedrijven die beweerden te kunnen helpen en een aanzienlijk bedrag in rekening te brengen, zelfs wanneer de definitieve versie van de richtlijnen nog niet eens was vastgesteld of gecommuniceerd. Er zijn talloze bedrijven die oplossingen of diensten verkopen om te helpen en het kan moeilijk zijn om te bepalen wie u kunt vertrouwen. Dit kun je niet zomaar uitbesteden aan een Managed Service Provider (MSP) die beweert bekend te zijn met de eisen.

1.https://www.radware.com/newsevents/pressreleases/c-suite-2019


Industriële technologie

  1. Cloudbeveiliging is de toekomst van cyberbeveiliging
  2. Vijf vragen over externe leveranciers en cyberbeveiliging
  3. Top vier vragen over de Russische serialisatiewetten, beantwoord
  4. Topuitdagingen op het gebied van Industrie 4.0
  5. De top 5 voordelen van SaaS voor fabrikanten
  6. Top 10 cyberbeveiligingsbedrijven voor de maakindustrie
  7. De drie belangrijkste voordelen van apparatuurfinanciering
  8. 3 veelgestelde vragen over lasersnijden in de metaalindustrie
  9. De top 5 sterkste metalen die u moet kennen
  10. Veelgestelde vragen over zandgieten
  11. De top 5 mythes over waterstraalsnijden doorbreken