התקנות החדשות של משרד ההגנה האמריקאי בתחום הסייבר מחייבות ספקים ועסקים לעמוד בדרישות אבטחה מחמירות. הצעדים שיבוצעו ישפיעו על שרשרת האספקה וישדרגו את רמת האבטחה לכלל השוק.
דרישות סייבר מחמירות על ספקי משרד ההגנה
כיצד דרישות האבטחה החדשות צפויות להשפיע על ספקים?
משרד ההגנה האמריקני קבע תקנות סייבר חדשות שייכנסו לתוקף בסוף השנה ויחייבו ספקים וקבלני משנה לעמוד בתקני אבטחת מידע מחמירים. התקנות החדשות מסדירות את תוכנית ה־CMMC (Cybersecurity Maturity Model Certification) שנועדה לוודא שהספקים מקיימים את דרישות ההגנה הנדרשות על מידע רגיש שאינו מסווג.
מטרת התקנות היא להגן על המידע מפני איומי סייבר, כולל איומים מתמשכים מתקדמים (APT), ולהגביר את רמת האבטחה בקרב הספקים. על פי משרד ההגנה, הספקים מחויבים לדווח על פרצות ותקיפות סייבר, תוך אכיפה הדוקה על עמידה בדרישות האבטחה.
אישור שנתי וצעדים זמניים
כיצד מסייעות התקנות החדשות לייעול פיקוח הסייבר?
התקנות החדשות כוללות דרישה לאישור שנתי על עמידת החברה בתקני האבטחה ומחייבות תוכניות פעולה ומועדים (POA&Ms) לתיקון פערים זמניים בתקן NIST. תוכנית ה־POA&M מאפשרת לספקים להשיג אישור מותנה לתקופה של 180 ימים כדי לסגור פערים בתקן, בתנאי ש־80% מהדרישות כבר מיושמות.
עם זאת, ספקים מדווחים על לחץ ניכר לעמידה בזמנים, בעיקר כאשר תקנות NIST דורשות לעמוד ב־45 דרישות קריטיות מיידית, ללא אפשרות לקבלת POA&M במקרים של אי־עמידה.
הכנה מוקדמת להערכת CMMC
משרד ההגנה קורא לספקים להיערך בהקדם להערכות CMMC
מומחי סייבר ממליצים לספקים לבצע הערכת CMMC מוקדמת עוד במהלך תקופת 60 הימים לאחר פרסום התקנות ברשומות הפדרליות. במהלך תקופה זו C3PAO, גוף עצמאי המוסמך על ידי משרד ההגנה, יתחיל בביצוע הערכות CMMC Level 2 לספקים. הכנה מוקדמת והסמכה ברמה זו תסייע לספקים לעמוד בדרישות הסייבר טרם ייכנסו התקנות לתוקף בחוזי משרד ההגנה ותאפשר להם להימנע מעיכובים פוטנציאליים ולצמצם עומסים.
המלצות מאת מומחי אבטחת המידע של IPV Security:
- בצעו הערכת סיכונים – מומלץ לבצע הערכת סיכונים יסודית לעמידה בתקני סייבר מחמירים, כולל זיהוי פערים והכנת תוכנית פעולה מסודרת, תוך מתן עדיפות לאבטחת מידע רגיש.
- השיגו הסמכות לתקנים – השגת הסמכה לתקן אבטחה מוקדם ככל האפשר תאפשר לעסק לעמוד בדרישות סייבר עוד לפני שהן הופכות לתנאי מחייב מול לקוחות ושותפים עסקיים.
- הטמיעו מערכות ניטור בזמן אמת – ניטור מערכות בזמן אמת מסייע בזיהוי אנומליות ותגובה מהירה לאירועי סייבר. כך ניתן להגן על המידע ולהגביר את העמידה בתקני האבטחה.
- ערכו בדיקות תקופתיות לעדכוני אבטחה – מומלץ לערוך בדיקות אבטחה באופן קבוע כדי לוודא שהתשתיות והמערכות עומדות בדרישות המתחדשות וערוכות מול מתקפות סייבר מתקדמות.
- היעזרו במומחי אבטחה – ליווי מקצועי מצד יועצי סייבר יסייע בהיערכות טובה יותר ובהתאמה לדרישות התקן, ויספק נקודת מבט חיצונית שתעזור לחזק את מערך האבטחה של העסק.
עמידה באמצעים אלו תחזק את רמת אבטחת המידע של העסק ותפחית סיכונים תפעוליים ועסקיים.
לסיכום,
תקני אבטחת סייבר מחמירים דורשים מעסקים לנקוט אמצעי הגנה מקיפים למידע רגיש.
מומחי אבטחה ממליצים על הערכות סיכונים, ניטור בזמן אמת ובדיקות תקופתיות לחיזוק מערך האבטחה ועמידה בדרישות.
מעוניינים להתייעץ עם מומחה, פנו למומחי איי פי וי סקיוריטי!
להתייעצות מקצועית ניתן לפנות אלינו לאימייל info@ipvsecurity.com או במספר הטלפון 077-4447130. IPV Security מתמחה זה 19 שנה באבטחת מידע, סייבר, סקרי סיכונים ותקנים ורגולציות הנוגעים לביטחון מידע ועוד.
