Pentagon, Savunma Sanayii Tabanı'nın siber güvenlik olgunluğunu artırmayı hedefleyen CMMC (Siber Güvenlik Olgunluk Modeli Sertifikasyonu) programının 2. Fazını askıya aldı. Kararın gerekçesi olarak, üçüncü taraf değerlendirici ekosisteminin talebi karşılayamayacak kadar yetersiz olması ve uyum maliyetlerinin özellikle küçük ve orta ölçekli firmaları savunma tedarik zincirinin dışına itmesi gösterildi. Yeni oluşturulan CMMC Reform Görev Gücü, 60 gün boyunca programı gözden geçirecek, sektör geri bildirimlerini toplayacak ve Eylül ortasına kadar tavsiyelerini raporlayacak.
Kritik olarak, askıya alma yalnızca bağımsız doğrulamayı etkiliyor. 1. Faz öz değerlendirme yükümlülükleri, SPRS puan gönderimleri ve kontrollü sınıflandırılmamış bilgilerin (CUI) korunmasına ilişkin DFARS 252.204-7012 şartı tamamen yürürlükte kalmaya devam ediyor. Bu, firmaların hâlâ NIST SP 800-171'in 110 gereksinimine karşı kendilerini değerlendirmesi ve skorlarını SPRS sistemine bildirmesi gerektiği anlamına geliyor. Uzmanlar, bu noktada özellikle Yalan İddialar Yasası (False Claims Act) riskine dikkat çekiyor.
NR Labs GRC Mühendislik Lideri Abdie Mohamed, konuya ilişkin değerlendirmesinde, '1. Faz hâlâ yürürlükte. CUI işliyorsanız, 110 NIST 800-171 gereksinimine karşı kendinizi değerlendiriyor ve bu skoru SPRS'e gönderiyorsunuz. DFARS 252.204-7012 sözleşmelerinizde duruyor. Eğer mükemmel bir 110 puanı bildirirseniz ve hükümet daha sonra denetim yapıp gerekli özeni göstermediğinizi tespit ederse, bu Yalan İddialar Yasası riski doğurur' dedi. Mohamed, Aerojet Rocketdyne (9 milyon dolar), Raytheon (8,4 milyon dolar), Penn State (1,25 milyon dolar) ve MORSE Corp (4,6 milyon dolar) gibi şirketlerin kendi bildirdikleri skorlar ile denetçilerin buldukları arasındaki fark nedeniyle cezalar ödediğini hatırlattı.
Uzmanların Görüşleri
Vigilant CEO'su Chris Nyhuis ise askıya almayı 'gecikmiş doğru karar' olarak nitelendirdi. 'Hız ve güvenlik artık bir lüks değil, bir gereklilik. Düşmanlarımız günler içinde hareket ediyor. Küçük bir savunma tedarikçisinin teklif vermeden önce bir yıl ve altı haneli maliyetlerle üçüncü taraf denetimden geçmesi, misyonu korumak değil, yavaşlatmaktır' diyen Nyhuis, denetimlerin küçük, hızlı ve yenilikçi firmaları dışarıda bıraktığını vurguladı. Ancak Nyhuis, 'Denetimleri askıya almak tehdidi ortadan kaldırmaz ve CUI koruma yükümlülüğünü değiştirmez. Öz değerlendirme bir onay kutusuna dönüşürse, yavaş bir süreci hızlı bir yalanla değiştirmiş oluruz ve ihlalin maliyeti herhangi bir denetimden çok daha fazla olur' uyarısında bulundu. Nyhuis, hesap verebilirliğin sözleşmeyi imzalayan kişilere kişisel olarak yüklenmesi gerektiğini savundu.
Redspin CMMC Hizmetleri Yöneticisi ve Baş Denetçi Ned Butler, sektörün tepkilerinde iki farklı maliyetin karıştırıldığını belirtti. 'DFARS 252.204-7012, yüklenicilerin NIST SP 800-171'i uygulamasını gerektirir ve asıl maliyet bu uygulamadadır. CMMC yalnızca işin yapıldığını doğrular. CMMC denetim maliyetleri aslında PCI, HITRUST veya ISO gibi diğer sertifikasyon rejimleriyle aynı, hatta daha düşüktür. Yükleniciler 'CMMC uyumluluğunun yüksek maliyetinden' şikayet ettiğinde, genellikle DFARS 252.204-7012'nin zaten yapmalarını gerektirdiği şeyi yapmanın maliyetini tanımlıyorlar' dedi. Butler, ölçeklenebilirlik ve denetçi sayısının yetersizliği gibi yapısal sorunların çözülmesi gerektiğini ancak doğrulama kavramının terk edilmemesi gerektiğini vurguladı.
Detaylar ve Etkileri
Sektör genelinde, askıya almanın üçüncü taraf CMMC denetimlerini durdurduğu ancak CUI koruma yükümlülüğünü değiştirmediği konusunda genel bir fikir birliği var. Uzmanlar, çözümün denetim kapsamını daraltmak, otomasyona geçmek veya mevcut yapıyı korumak arasında bölünmüş durumda. CMMC Reform Görev Gücü'nün Eylül ortasında sunacağı rapor, programın geleceği için belirleyici olacak. Beklentiler, CMMC'nin tamamen ortadan kalkmayacağı, ancak daha farklı bir biçim alacağı yönünde. Bu süreçte, savunma sanayii firmalarının mevcut yükümlülüklerini ihmal etmemeleri ve özellikle Yalan İddialar Yasası riskine karşı dikkatli olmaları gerekiyor.
Kaynak: securityweek.com