As regras CMMC 2.0 do DOD dos EUA aliviam os encargos dos MSPs e dos fabricantes

Início / Tecnologia da Informação / As regras CMMC 2.0 do DOD dos EUA aliviam os encargos dos MSPs e dos fabricantes
pessoa olhando a lista de verificação de regulamentosNovas regras de segurança cibernética para empreiteiros do Departamento de Defesa dos EUA (DOD) estão entrando na reta final. O regras que estabelece um mecanismo de avaliação abrangente e escalonável dentro do programa de Certificação do Modelo de Maturidade de Segurança Cibernética (CMMC) da agência, visa garantir que os contratados e subcontratados estejam implementando medidas de segurança da informação exigidas pelo DOD.

O departamento, que no passado dependeu em grande parte das autoavaliações de segurança dos seus fornecedores, tem sido criticado há algum tempo pelo seu inspetor-geral pela fraca supervisão dos seus fornecedores. Em um relatório divulgado em dezembro, IG Robert P. Storch observou que sua agência emitiu cinco relatórios de 2018 a 2023 que consistentemente descobriram que os funcionários contratuais do DOD não conseguiram estabelecer processos para verificar se os contratantes cumpriam os requisitos federais de segurança cibernética selecionados para informações não classificadas controladas (CUI), conforme exigido por o Instituto Nacional de Padrões e Tecnologia (NIST).

Storch também destacou que, desde 2022, o seu gabinete participou em cinco investigações do Departamento de Justiça dos EUA visando contratantes governamentais e beneficiários de subvenções suspeitos de atestarem fraudulentamente a sua conformidade com os padrões de segurança cibernética do NIST.

CMMC uma forma de garantir a segurança na cadeia de abastecimento do DOD

“Os requisitos do CMMC são uma resposta aos relatórios do inspetor geral do DOD como uma forma de avaliar e verificar a conformidade com os requisitos de segurança do departamento”, diz Brian Kirk, gerente sênior de garantia de informações e segurança cibernética na empresa de contabilidade e consultoria Cherry Bekaert. “A perda agregada de propriedade intelectual e CUI da cadeia de abastecimento do DOD prejudica gravemente a vantagem técnica dos EUA e perturba as oportunidades de negócios e, em última análise, ameaça a nossa defesa e economia nacional.”

“Ao incorporar a segurança cibernética nos programas de aquisição”, continua Kirk, “o programa CMMC fornece ao departamento a garantia de que os contratados e subcontratados atendem aos requisitos de segurança cibernética do DOD e fornece mecanismos importantes para se adaptar ao cenário de ameaças em evolução. É uma forma do departamento garantir a segurança na cadeia de abastecimento.”

Mudança importante na forma como as regras do CMMS tratam os provedores de serviços gerenciados

Robert Metzger, presidente de prática de segurança cibernética do escritório de advocacia Rogers Joseph O’Donnell, diz: “Vejo a regra como uma reafirmação da decisão de que o autoatestado é insuficiente para a maioria dos fornecedores do DOD que possuem CUI e mantendo a fasquia elevada na expectativa dos padrões do NIST Será conhecido.”

Uma mudança importante em relação às versões anteriores das regras do CMMS é a forma como elas tratam os provedores de serviços gerenciados (MSPs). A versão anterior das regras levantou preocupações sobre os MSPs serem obrigados a cumprir as regras do Programa Federal de Gerenciamento de Riscos e Autorizações (FedRAMP), que fornecem uma abordagem padronizada para autorizações de segurança para ofertas de serviços em nuvem (CSOs) para o governo federal. As autorizações são concedidas em três níveis de impacto – baixo, moderado e alto – embora contas moderadas para a maioria das ofertas que recebem autorização do FedRAMP.

O CMMC pode ser inacessível para muitas empresas.

“O FedRAMP nunca foi planejado para os serviços em nuvem que organizações comerciais fornecem a outras organizações comerciais”, diz Metzger. “Portanto, as regras propostas não sujeitam os provedores de serviços gerenciados à moderação do FedRAMP. Eles sugerem que, se mantiverem ou hospedarem informações não classificadas controladas, estarão sujeitos aos mesmos requisitos do NIST que os prestadores de serviços que possuem as mesmas informações.”

“Essa mudança permitirá que mais empresas tomem decisões prudentes sobre a seleção de provedores de serviços gerenciados e outros provedores de serviços externos que possam ajudá-las a cumprir a conformidade e manter a segurança a um custo geral mais baixo”, explica Metzger. “O grande perigo para o CMMC é que será inacessível para muitas empresas. A melhor resposta à acessibilidade é permitir que as empresas satisfaçam a maioria dos requisitos cibernéticos específicos recorrendo a prestadores de serviços externos. Para que isso funcione, precisamos de meios para que esses prestadores de serviços externos sejam avaliados ou validados, para que as empresas tenham um mercado de prestadores para escolher.”

Os fabricantes não são mais obrigados a atender aos padrões NIST

As regras propostas também isentam os fabricantes de cumprirem a NIST SP 800-171. SP 800-171 é um conjunto de regras de segurança cibernética do NIST para proteger informações federais confidenciais. “Os requisitos do conjunto 171 de padrões cibernéticos são projetados para redes de TI e sistemas de informação”, diz Metzger. “Eles nunca foram realmente projetados para um ambiente de fabricação. Agora está claro nas regras propostas que as avaliações não se aplicarão à tecnologia operacional.”

“Isso, para mim, deveria fazer com que os fabricantes respirassem de alívio, porque ser obrigado a atender aos padrões do NIST que simplesmente não se enquadram em um ambiente de fabricação ou TO é uma receita para problemas de muitas formas”, diz Metzger. “A mudança mais importante é o que não mudou. O documento tem essencialmente a mesma estrutura e estratégia da versão 1.0. Requer avaliações de terceiros para um grande número de fornecedores de defesa.”

A versão 2.0 proposta das regras do CMMC foi publicada no Federal Register em 26 de dezembro. As partes interessadas têm até 26 de fevereiro para enviar comentários ao DOD antes que a agência finalize as regras.

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.