אם הארגון שלכם מספק מוצרים, תוכנה או שירותים במסגרת שרשרת האספקה של משרד ההגנה האמריקאי (ה- DoD), בין אם באופן ישיר או כקבלני משנה, הרי מסמך שמפרט את עיקרי השלבים ליישום CMMC 2.0.
אחרי שנים של דיונים, דחיות ועדכונים, החוק אושר ודרישה לכך מופיעה כבר במכרזים. המטרה שלי במסמך זה היא לפזר את הערפל סביב הנושא, או כמו שאני אוהב – לעשות קצת סדר... ואם חלק מכם מניחים שמדובר ב״עוד החתמת טפסים כמו ISO״ או שבדיוק הפוך – נכנסתם לפאניקה ועומדים להחליף את כל תשתית ה- IT שלכם מחר בבוקר, אציע להוריד רגע את רעשי הרקע ולקרוא את הפוסט הפרקטי הזה, להבין מה זה באמת דורש, כמה זמן זה לוקח, איך נראה תהליך העבודה בפועל, ומה ההבדל תכל׳ס בין רמות ההסמכה השונות.
משרד ההגנה האמריקאי מחלק את המידע לשני סוגים עיקריים, וזה מה שקובע איזו רמת CMMC אתם נדרשים ליישם – ככל ומדובר במידע בסיסי שאינו מיועד לפרסום ציבורי שמופק או מתקבל במסגרת חוזה ממשלתי (פרטי החוזה, לוחות זמנים, דרישות אספקה בסיסיות וכד׳), אתם צריכים את רמה 1 (נקרא Federal Contract Information (FCI)). לעומת זאת, במידה ומדובר במידע רגיש, שאינו מסווג רשמית, אך החוק דורש להגן עליו (שרטוטים הנדסיים, מפרטים טכניים של רכיבים, קוד מקור, נתוני ביצועים של מערכות ביטחוניות וכד׳), אתם מחויבים לרמה 2 (נקרא Controlled Unclassified Information (CUI)).
כדי להבין בדיוק מה נחשב CUI ואיך הממשל האמריקאי מגדיר אותו, מומלץ לעיין ב- CUI Registry של הארכיון הלאומי האמריקאי.
ההבדל הדרמטי הוא בין הצהרה עצמית (Self-Assessment) מול הסמכה של סוקר חיצוני (C3PAO). רמה 1 (הצהרה עצמית) כוללת 17 בקרות אבטחה בסיסיות (מתוך תקן NIST SP 800-171) ואין צורך להזמין סוקר חיצוני מחו״ל. הארגון מבצע הערכה עצמית, ומנכ״ל החברה (או גורם בכיר מוסמך מטעמו) חותם על הצהרה רשמית במערכת הממשלתית האמריקאית (SPRS). הדגש פה הוא על אחריות אישית – הצהרה כוזבת היא עבירה פדרלית... לעומת זאת, רמה 2 כוללת 110 בקרות אבטחה מקיפות, וכאן זה נחלק ל- 2 מסלולים: עבור חוזים עם מידע CUI שנחשב פחות קריטי, הממשל מאפשר להסתפק בהערכה עצמית ואישור של בכירי החברה (נקרא ׳מסלול הצהרה עצמית׳); עבור חוזים ביטחוניים משמעותיים, תידרשו לעבור מבדק רשמי על ידי גוף מוסמך (נקרא ׳מסלול הסמכה חיצונית C3PAO׳). ה- C3PAO הנו ארגון גג עצמאי שמשרד ההגנה הסמיך לניהול תהליך ההסמכה ל- CMMC ברמה 2 ורשימת הסוקרים המורשים מפורטת ב- Cyber AB Marketplace.
ולמה כדאי לשים דגש למסלול הנכון ולהתייחס לכך מראש? דוגמא פשוטה לכך היא אחסנת CUI בענן מסחרי רגיל (כמו Office 365 או AWS) שאינו מספיק במרבית המקרים... תקן NIST SP 800-171 דורש שספקי הענן שלכם יעמדו ב- FedRAMP Moderate (או מקבילו FedRAMP High במקרים מסוימים), וכן שיעמדו בדרישות דיווח אירועים לפי תקנת DFARS 252.204-7012. מן הסתם, דבר כזה דורש תכנון ארכיטקטורה והיערכות שיכולה להשפיע משמעותית על כל התהליך (למשל, שימוש בסביבות ייעודיות או פתרונות הצפנה מקצה לקצה שמנטרלים את גישת ספק הענן למידע).
תהליך יישום ה- CMMC:
שלב 1: הגדרת גבולות הגזרה (Scoping)
הטעות הכי נפוצה היא לנסות להחיל את ה- CMMC על כל החברה, כולל מחלקת השיווק או חנות הדיגיטל שלכם. הרשו לי להמליץ בשלב ראשון דווקא לבודד את ׳סביבת ה- CUI׳ (השרתים, המחשבים הניידים, הענן והאנשים שבאים במגע עם החומרים הביטחוניים), כי ככל שנקטין את גבולות הגזרה, כך נחסוך בעלויות היישום והרישוי.
שלב 2: סקר פערים (Gap Assessment)
תעברו על רשימת הבקרות (אם אתם נדרשים לרמה 2, עיינו בתקן NIST SP 800-171) במטרה לשקף את המצב האמיתי (מה קיים, מה חסר או מיושם באופן חלקי).
שלב 3: כתיבת תוכנית פעולה (POA&M) ותוכנית אבטחת מערכת (SSP)
SSP הוא המסמך המרכזי שלכם ומפרט כיצד הארגון שלכם עונה על כל בקרה ובקרה (סוקר ה- C3PAO יתחיל את המבדק שלו במסמך זה).
POA&M הוא המסמך שמרכז את המשימות לביצוע עבור כל מה שגילינו בסקר הפערים. ב- CMMC 2.0 מותר להגיע למבדק עם פערים פתוחים (שאינם קריטיים), בתנאי שיש להם תוכנית סגירה מוגדרת בזמן (שימו לב – עד 180 יום...).
שלב 4: יישום והטמעה (Remediation)
זה השלב הארוך שבו ״מלכלכים את הידיים״ ואחלק אותו לשלושה חלקים:
טכנולוגיה: הגדרת הזדהות רב-שלבית (MFA) קשיחה, הצפנת מידע במעבר ובמנוחה, ניהול הרשאות קפדני, הטמעת מערכות ניטור ולוגים (SIEM/SOC) וכד׳.
תהליכים ונהלים: כתיבת מדיניות סיסמאות, נוהל תגובה לאירועי סייבר, נוהל קליטת/עזיבת עובדים וכד׳.
תרבות ארגונית: הדרכות מודעות לעובדים; בסופו של דבר, הסוקר יכול במהלך המבדק לגשת למפתח תוכנה אקראי בארגון ולשאול אותו לדוגמא ״מה אתה עושה כשאתה מזהה מייל פישינג?״... העובדים חייבים להכיר את הנהלים והתרבות הארגונית בחברה.
שלב 5: מבדק מקדים (Mock Audit)
לפני שמגיע הסוקר החיצוני-רשמי מטעם ה- C3PAO, אנחנו עושים סימולציה מלאה (קוראים לזה ׳מבדק מקדים׳ או ׳מבדק פנימי׳, כל ארגון לפי תפיסתו) ומטרתו לבדוק לא רק שהטכנולוגיה עובדת, אלא שיש לנו הוכחות מסודרות ומתועדות לכל בקרה (לוגים חצי שנה אחורה, תצלומי מסך, נהלים חתומים וכן הלאה).
שלב 6: המבדק הרשמי (רלוונטי למסלול תעודה של C3PAO)
המבדק מתבצע פיזית או מרחוק, הסוקרים עוברים על ה- SSP, מראיינים עובדים, בוחנים הגדרות מערכת ובסוף המבדק מוציאים דוח סיכום רשמי. אם הכול תקין – מזל טוב, קיבלתם את ההסמכה שתקפה ל-3 שנים.
אומדן לוחות זמנים: הזמן הנדרש תלוי בבשלות הטכנולוגית הנוכחית שלכם וברמת ההסמכה הנדרשת, כאשר עבור רמה 1, לרוב מדובר בתהליך של כחודשיים והבקרות הן די בסיסיות; עבור רמה 2, בארגון ממוצע שמגיע עם תשתית IT סטנדרטית, התהליך לוקח בין 6 ל- 12 חודשים, ולו בשל הצורך לייצר היסטוריה של הוכחות ולהטמיע את השינויים הנדרשים כחלק מתרבות העבודה היומיומית של העובדים.
ומה קורה ביום שאחרי? (ליווי המשך ותחזוקה)
אחת הטעויות של ארגונים היא להתייחס ל- CMMC כאל פרויקט חד-פעמי... ״עברנו את הסוקר, אפשר לחזור לשגרה״. אז זהו, שלא! סייבר הוא עניין דינמי. לכן, גם במסלול של הסמכת C3PAO (שמתחדשת פעם ב- 3 שנים), אתם מחויבים לבצע הערכה עצמית והצהרה מחדש בכל שנה. אם סגרתם מערכת ניטור, אם עובד חדש לא עבר הדרכה, או אם הוספתם שרת לענן בלי להחיל עליו את בקרות ה- NIST – אתם מפירים את תנאי החוזה שלכם.
ליווי המשך מקצועי כולל ניהול שוטף של בקרת השינויים (Change Management), ביצוע מבדקי פתע פנימיים וחיצוניים, עדכון מסמך ה- SSP בכל פעם שהארגון משתנה, ווידוא שהלוגים נשמרים ומנותחים כהלכה. אין ברירה... אבטחת מידע זהו תהליך מתמשך, לא יעד.
לסיכום, חקיקת ה- CMMC בתוקף ומשרד ההגנה האמריקאי הגדיר תוכנית הטמעה מדורגת. בשלבים הראשונים הדרישות מופיעות במכרזים נבחרים, ובהמשך תהפוך לתנאי סף חובה בכל חוזה חדש או חידוש חוזה קיים. לכן, ואני לא רוצה לייצר תבהלה... אבל מי שלא יתחיל לעבוד בקרוב, ימצא את עצמו מחוץ לשוק כשהמכרז הרלוונטי אליו יתפרסם. CMMC 2.0 הוא לא פרויקט של ״הצהרת כוונות״, אלא מדובר בדרישה קשיחה שהולכת להפריד בין חברות שיכולות לעבוד מול הממשל בארה״ב לבין אלו שיישארו בחוץ. החדשות הטובות הן שזה תהליך ישים, פתיר ומדורג שאם עושים אותו נכון, בלי קיצורי דרך (ובלי פאניקה) מצליחים.
אז אם הארגון שלכם עומד בפני דרישת CMMC, אם קיבלתם שאלון ואתם לא בטוחים איך לענות, או אם אתם רוצים להבין איך להגדיר את גבולות הגזרה שלכם בצורה נכונה, חסכונית, יעילה וחכמה – אתם מוזמנים לדבר איתי.
נשב לקפה (או זום...), נבין מה סוג המידע המוחזק ברשותכם, ונבנה מפת דרכים ריאלית עבורכם.
בהצלחה.
ציוד רפואי - רגולציה מקומית
ציוד רפואי - רגולציה גלובלית
תקני ISO
תמרוקים
הגנת מידע ופרטיות
משרד הבטחון
ציוד רפואי