编者按:美国战略和国际问题研究中心(CSIS)副主任、国际安全项目研究员摩根﹒德怀尔(Morgan Dwyer)2019年12月18日撰文称,美国国防部(DOD)通过网络安全成熟度模型认证(CMMC)应对未来的网络威胁,可能会产生比其解决的问题更多的问题。现将此文的主要内容摘译如下:

一、国防工业基地网络安全问题

CMMC旨在利用国防部工业基础网络安全方法解决长期存在的问题。目前,《国防联邦采购补充条例》(Defense Federal Acquisition Regulation Supplement,DFARS)要求承包商实施美国国家标准技术研究院(NIST)的特殊出版物(SP)800-171标准。国防部很少审计这些标准的执行情况,而是依靠公司自我报告其合规性。

许多公司(尤其是小型企业)都在努力实施NIST标准。DFARS 允许这些企业自行报告那些不适用NIST要求的特定情况,并提出替代方案以满足DOD的网络安全目标。黑客通常以国防部供应链中的薄弱环节为目标,而未来的计划已无法替代当今的网络安全。

CMMC划分了五个新的网络安全标准等级并要求由第三方机构进行审核。第三方认证机构将对30多万家国防工业基地公司进行评估,根据其网络安全状况进行评级(从1级到5级)。公司参与国防部合同竞标时,必须达到投标请求(RFP)中指定的CMMC级别。

遗憾的是,国防部急于实施CMMC可能会引起很多问题。2019年3月,国防部首次宣布将开发CMMC ,计划于2020年秋季开始实施。尽管许多行业协会表示反对,但DOD领导层坚持并警告说 “我们的对手不会等待。”

二、CMMC无法解决的问题

就当前情况而言,尚不清楚CMMC是否能解决工业基础网络安全问题。如果小企业达到的CMMC标准比大企业低,它们将仍然是国防部供应链中最薄弱的环节。此外,当小型企业成为大宗商品的分包商时,对小型企业的网络攻击通常最有害。主承包商通常会提供不必要的系统级信息给他们的分包商。小型分包商(黑客很喜欢这种分包商)通常不需要此信息即可完成工作。不必要的共享信息可能会造成重大后果。例如2017年,黑客通过攻击澳大利亚的分包商获得了有关F-35的详细信息。尽管CMMC的技术标准可能使针对分包商的攻击变得更加困难,但CMMC的当前流程标准并未明确解决不必要的信息共享,这就使小型企业成为恶意行为者的关注目标。

其次,CMMC专注于过程而不是结果。这意味着CMMC的审核员将检查公司是否具有适当的安全策略和功能,而不是这些功能是否真正起作用。审核员并不清楚,如果CMMC认证的公司遭到黑客入侵,是否会对企业或认证机构造成后果。

最后,即使拥有第三方认证机构,CMMC标准的执行力也将大打折扣。五角大楼内部的权限设置将阻碍CMMC实施,因为实施CMMC所需的决策权和预算权属于军事部门。

在五角大楼之外,公司可能会挑战国防部对单个程序设定的特定CMMC要求。由于缺乏标准要求,公司可能会以CMMC要求(至少适用于单个程序)为由,反复挑战国防部,使其难以在整个国防工业基地中实施CMMC。

三、CMMC可能造成的问题

从当前情况来看,CMMC似乎还会制造出比其解决的问题更多的问题。目前最大问题是DOD尚未解决实施CMMC的关键细节。如果DOD急于实施CMMC,定会在其工业基地的30多万家公司之间造成混乱。为避免带来其他问题,国防部应放慢速度,首先解决涉及承包商关系、竞争和成本的相关问题。

首先,国防部应明确从主要承包商到分包商的CMMC要求。例如,如果DOD要求主承包商获得CMMC第五级认证,那么其分包商需要达到哪一级?如果分包商在计划过程中未通过审核,那么主承包商的CMMC认证将如何处理?

接下来,国防部应评估CMMC将如何影响竞争。例如,国防部指出,CMMC认证将是允许的费用,这意味着拥有现有国防部合同的公司可以向国防部收取认证费用。没有现有合同或有固定价格合同的公司应如何处理支付认证费用?对于从未与DOD开展业务的新公司,这些成本是否会成为进入的障碍?对于老牌公司,认证级别将公开吗?如果是,那么这将如何影响非DOD业务的竞争?此外,CMMC将如何适用于向国防部或其主要承包商提供商业产品或服务的公司?

除了认证成本外,国防部还应评估合规成本如何影响竞争,尤其是由于CMMC标准不同于私营部门和其他政府机构。例如,国防部是否会批准符合CMMC意图的替代网络安全方法?还是对于合规成本可能过高的小型企业,DOD会放弃其要求吗?如果没有,CMMC会限制国防部与小型非传统企业合作的能力进一步加剧了已经存在的问题?

最后,国防部应估算CMMC的成本。在对30万多家公司提出要求之前,国防部应估算合规性和审计成本以及审计频率。然后,国防部应使用这些估计值对其工业基础征收符合成本要求的要求。

除了提高对成本的了解外,国防部还应该开发一个合理的成本模型。今天,国防部指出,承包商将为获得认可而支付费用,安全将是可允许的费用,并且在某种程度上,认可机构将无需花费任何费用给政府。这些矛盾的说法中哪一项是正确的?国防部在颁布CMMC之前应对此问题提供可行的答案。

四、替代解决方案

国防部优先考虑工业基础网络安全是对的,CMMC可能是一个很好的解决方案。国防部应警惕不可操之过急,因为这样做可能会带来比其解决的问题更多的问题。在DOD制定详细的CMMC实施计划之前,它应该更积极地使用DFARS中已经提供的网络安全工具。例如,海军最近指示采购计划考虑对不符合NIST SP 800-171标准的承包商征收财务罚款,其他军事部门也可以采用类似的方法。

在整个行业范围内实施CMMC之前,国防部应先启动试点计划。国防部可以通过与少数公司合作进行试点,在获取一定经验后再制定详细计划,将CMMC推广至国防工业基地的30多万家承包商。此外,国防部还应利用试点计划评估CMMC的有效性,寻求评估工业基础网络安全的替代方法。

在评估替代方法时,DOD应该意识到,加强国防工业基础安全有许多事情要做,新的网络安全方法不仅要考虑有效性和可执行性,还要考虑清晰度、竞争和成本,国防部应在这些相互竞争的优先事项之间取得平衡。

参考链接:

https://www.csis.org/analysis/does-defense-departments-new-approach-industrial-base-cybersecurity-create-more-problems-it

声明:本文来自网络空间安全军民融合创新中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。