Entro la metà del 2020, le aziende che competono per le commesse dell’US DoD dovranno fornire un’apposita certificazione di sicurezza cibernetica che attesti la loro capacità di proteggere le informazioni relative ai contratti governativi e allo sviluppo dei sistemi d’arma.
Entro il giugno del prossimo anno, le aziende che ambiscono ad aggiudicarsi contratti da parte del Dipartimento della Difesa statunitense vedranno inseriti i requisiti di cyber-security nelle richieste di informazioni (Requests for Information – RFI) che generalmente rappresentano uno dei primi passi nella procedura di assegnazione delle commesse. La novità è stata annunciata il 10 dicembre da Ellen Lord, sottosegretario della Difesa per le Acquisizioni e il Supporto, che ha illustrato alla stampa il nuovo programma di certificazione introdotto per garantire che le aziende desiderose di lavorare con il Pentagono soddisfino importanti requisiti di sicurezza informatica.
Cinque livelli di certificazione basati sulla criticità dei sistemi oggetto di contratto
“La Cybersecurity Maturity Model Certification, o programma CMMC, stabilisce la sicurezza come fondamento per l’acquisizione e combina i vari standard di sicurezza cibernetica in uno standard unificato allo scopo di garantire la catena di approvvigionamento del DoD”. Lord ha spiegato che il programma stabilirà cinque livelli di certificazione adeguati alla criticità di un sistema o sottosistema su cui un’azienda contraente potrebbe lavorare, e che il framework CMMC è stato sviluppato lavorando con la stessa industria della difesa, oltre che con il Congresso degli Stati Uniti. “Questi livelli misureranno le capacità tecniche e la maturità dei processi”, ha affermato il sottosegretario, aggiungendo che “Il framework CMMC sarà reso completamente disponibile a gennaio 2020.”
La guerra cibernetica si combatte ogni giorno e rappresenta una sfida per la sicurezza e l’economia
Il programma CMMC è concepito affinché qualsiasi impresa che lavori per il Governo possa dimostrare che le proprie reti informatiche e pratiche di sicurezza cibernetica sono in grado di difendersi dalle intrusioni degli avversari che desiderano accedere alle informazioni sui contratti governativi e sullo sviluppo dei sistemi d’arma.“La sicurezza informatica è una sfida per il DoD e per tutto il Governo, nonché per i settori di attività critici degli Stati Uniti, come quelli bancario e sanitario”, ha affermato Lord. “Sappiamo che l’avversario è in guerra cibernetica con noi ogni giorno, il che rappresenta un problema economico per gli Stati Uniti, oltre che di sicurezza. Quando esaminiamo gli standard di sicurezza informatica, credo che sia assolutamente cruciale essere cristallini su quali siano le aspettative [e] il metodo di valutazione, e in che modo svolgeremo sostanzialmente le verifiche.”
L’US DoD lavora per alleviare il peso dei nuovi adempimenti sulle piccole aziende
A controllare la conformità dei potenziali contractor agli standard del programma CMMC non sarà lo stesso Governo, bensì una terza parte. Lord ha spiegato che il DoD sta lavorando con una serie di aziende interessate a svolgere questo lavoro e che una decisione in merito sarà presa entro gennaio.
Il sottosegretario ha dichiarato che il Pentagono si aspetta che le piccole aziende possano incontrare qualche problema nel soddisfare i requisiti del programma; è consapevole delle preoccupazioni del settore e sta compiendo sforzi per alleviarle: “Sappiamo che [il CMMC] può essere un peso soprattutto per le piccole aziende, e le piccole aziende sono quelle da cui arriva la maggior parte dell’innovazione”, ha detto Lord. “Pertanto, abbiamo lavorato con le realtà più importanti, con le associazioni di settore, con le medie imprese e con le piccole aziende su come possiamo implementare [le nuove regole] nel modo più efficace, affinché non comportino un costo eccessivo per la base industriale.”