เป็นเวลากว่าสองปีแล้วที่กระทรวงกลาโหมเปิดตัวการรับรองรูปแบบความมั่นคงปลอดภัยทางไซเบอร์เป็นครั้งแรก หลักการพื้นฐานของ CMMC คือผู้รับเหมาและผู้รับเหมาช่วงทั้งหมดในห่วงโซ่อุปทานของ DoD ยกเว้นผู้ให้บริการผลิตภัณฑ์เชิงพาณิชย์นอกชั้นวาง จะต้องได้รับการรับรองจากบุคคลที่สามเกี่ยวกับความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ก่อนที่จะดำเนินการตามสัญญาที่ได้รับจากช่วงเวลาของการเปิดตัว DoD และพันธมิตรในอุตสาหกรรมได้ทำงานสำคัญหลายอย่างให้สำเร็จ: การเปิดตัวแบบจำลองสุขอนามัยความปลอดภัยทางไซเบอร์โดยละเอียด
การจัดตั้งหน่วยงานรับรอง (AB) การฝึกอบรมถูกสร้างขึ้น และสัญญา 7 ฉบับ
ได้รับการระบุว่าเป็น สัญญา DoD ฉบับแรกที่ต้องใช้ CMMC นอกจากนี้ ผู้ให้บริการจำนวนมากยังต้องเสียเวลาและค่าใช้จ่ายมากมายในการเป็นผู้ให้บริการที่ลงทะเบียนหรือผู้ประเมินที่ได้รับการรับรองในระบบนิเวศของ AB ผู้รับเหมายังใช้เงินทุนจำนวนมากในการตรวจสอบระบบของตนเทียบกับแบบจำลอง CMMC เพื่อเตรียมพร้อมสำหรับการรับรอง
การจัดตั้ง CMMC นั้นมีเหตุผลที่ดี: ภัยคุกคามความปลอดภัยทางไซเบอร์กำลังเพิ่มขึ้นและซับซ้อนมากขึ้น และ DoD มีหลักฐานที่น่าสนใจว่าผู้รับเหมาปฏิบัติตามการรับรองด้วยตนเองด้านความปลอดภัยทางไซเบอร์ที่มีอยู่นั้นยังไม่เพียงพอ ความน่ากลัวของ CMMC เป็นข้อกำหนดในอนาคตในสัญญา DoD ทั้งหมด ควบคู่ไปกับข้อกำหนดระยะสั้นสำหรับการรายงานคะแนนระบบความเสี่ยงประสิทธิภาพของซัพพลายเออร์ (SPRS) ได้รับความสนใจจากสมาชิกฐานอุตสาหกรรมกลาโหม (DIB) จำนวนมาก พวกเขากำลังตรวจสอบท่าทางความปลอดภัยในโลกไซเบอร์อย่างหนัก และพบว่าพวกเขายังมีข้อบกพร่องอยู่เป็นจำนวนมาก ซึ่งหมายความว่าพวกเขาไม่ได้รับแรงจูงใจเพียงพอจากข้อบังคับก่อน CMMC
เนื่องจาก CMMC บริษัทเหล่านี้กำลังดำเนินการและดำเนินโครงการแก้ไขการรักษาความปลอดภัย โครงการเปลี่ยนแปลงด้านไอที และการย้ายระบบคลาวด์ พวกเขากำลังใช้เทคโนโลยีและบริการด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ในการป้องกันความปลอดภัยทางไซเบอร์ บริษัทเหล่านี้ได้รับการกระตุ้นให้ดำเนินการโดย CMMC และการปรับปรุงความปลอดภัยที่พวกเขากำลังดำเนินการนั้นกำลังจัดการกับความเสี่ยงที่มีมาอย่างยาวนานซึ่งถูกเพิกเฉย ข้อมูลเชิงลึกโดย MFGS, Inc.: ค้นหาว่าเหตุใดการจัดการสายธารคุณค่าจึงได้รับความนิยมในฐานะกรอบงานสำหรับการวัดมูลค่าในสภาพแวดล้อม DevSecOps
ในเดือนเมษายน Federal News Network รายงานว่า DoD
กำลังดำเนินการตรวจสอบโปรแกรม CMMC ยินดีต้อนรับการทบทวน เนื่องจาก DoD ได้ทำสำเร็จแล้ว ยังมีช่องว่างสำหรับการปรับปรุง:
ค่าใช้จ่ายในการขอใบรับรอง CMMC อาจเป็นภาระโดยเฉพาะอย่างยิ่งสำหรับธุรกิจขนาดเล็ก กระทรวงควรสำรวจโอกาสในการให้ทุนเพื่อช่วยให้ธุรกิจขนาดเล็กจ่ายค่าประเมินการรับรองและค่าใช้จ่ายอื่น ๆ ที่เกี่ยวข้องกับ CMMC สิ่งนี้จะช่วยรักษา DIB ผู้รับเหมาธุรกิจขนาดเล็กที่พบ CMMC ก่อนคู่แข่งโดยอาศัยโอกาสในการทำสัญญาใหม่จะเสียเปรียบในการแข่งขันเนื่องจากพวกเขาจะต้องคำนึงถึงต้นทุนของการรับรอง CMMC ในภาพรวมทั่วไปและการบริหาร (G&A) หรือต้นทุนรวมที่คู่แข่งของพวกเขา จะไม่ นอกจากนี้ ในกฎขั้นสุดท้ายระหว่างกาล DoD ระบุว่าคาดว่าค่าใช้จ่ายของธุรกิจในการสนับสนุนและขอรับใบรับรองระดับ 3 คือ 51,095.60 ดอลลาร์
DoD ควรชี้แจงว่าข้อกำหนดการรับรองอื่น ๆ เช่น Federal Risk and Authorization Management Program (FedRAMP) จะรวมเข้ากับ CMMC ได้อย่างไร ดังนั้นผู้รับเหมาจึงไม่ต้องพิสูจน์ลักษณะของระบบสองครั้ง ในทำนองเดียวกัน DoD ควรสำรวจโปรโตคอลที่ใช้ซ้ำ ดังนั้นบริการที่ใช้ร่วมกันทั่วไปที่สามารถแสดงการปฏิบัติตาม CMMC ไม่จำเป็นต้องได้รับการประเมินใหม่สำหรับผู้รับเหมาทุกรายที่ใช้บริการเหล่านั้น การสืบทอด การใช้ซ้ำ และการแลกเปลี่ยนซึ่งกันและกันเป็นองค์ประกอบสำคัญของการอนุญาตให้ CMMC ปรับขนาดเป็น DIB ทั้งหมดในเวลาที่เหมาะสมด้วยต้นทุนที่สมเหตุสมผล ตัวอย่างเช่น FedRAMP ให้คำแนะนำที่ชัดเจนเกี่ยวกับการสืบทอดจากผู้ให้บริการระบบคลาวด์ที่ได้รับอนุญาตก่อนหน้านี้ ตลอดจนการนำกลับมาใช้ใหม่ระหว่างหน่วยงานต่างๆ ซึ่งสามารถใช้เป็นต้นแบบสำหรับแนวคิดที่คล้ายคลึงกันภายในเฟรมเวิร์ก CMMC
กระทรวงควรให้ความแน่นอนเกี่ยวกับวิธีการกำหนดระดับ CMMC ให้กับสัญญา และสร้างกลไกที่ผู้รับเหมาสามารถอุทธรณ์ได้เมื่อมีความขัดแย้งในระดับที่ได้รับมอบหมาย สั้นกว่านั้น ผู้รับเหมาจะยื่นประท้วงก่อนได้รับรางวัลซึ่งจะหยุดการให้สัญญา นอกจากนี้ ควรมีกระบวนการที่มีประสิทธิภาพในการแก้ไขข้อขัดแย้งว่าการประเมินดำเนินการอย่างเหมาะสมหรือไม่
แม้ว่าจะมีเหตุผลที่ดีสำหรับท่าที “ไม่มีแผนปฏิบัติการและเหตุการณ์สำคัญ (POAM) แบบเปิด” ที่นำมาใช้ในมาตรฐาน CMMC ผู้รับเหมาที่มีความคืบหน้าอย่างมีนัยสำคัญในการปฏิบัติตามควรได้รับสิ่งจูงใจแทนที่จะถูกลงโทษหากไม่บรรลุความสมบูรณ์แบบ กระทรวงควรนำวิธีการตามความเสี่ยงมาใช้ ซึ่งการปฏิบัติตามที่ไม่สมบูรณ์แบบอาจเป็นที่ยอมรับได้ในกรณีที่ผู้รับเหมาสามารถแสดงให้เห็นว่าพวกเขาได้ทำการแลกเปลี่ยนที่สมเหตุสมผลระหว่างความปลอดภัย ต้นทุน และการปฏิบัติตาม มีหลายกรณีที่การปฏิบัติตามอย่างเคร่งครัดไม่ใช่การใช้เงินดอลลาร์ของผู้เสียภาษีอย่างมีประสิทธิภาพ ตัวอย่างเช่น ผู้รับเหมาที่ปรับใช้การเข้ารหัสที่พิสูจน์ได้ชัดเจนแล้วอาจต้องเสียค่าใช้จ่ายจำนวนมากในการสร้างระบบใหม่ด้วยกา
