Il Pentagono sospende la regola di audit informatico che stava escludendo i piccoli fornitori.
La figura che sembra aver concluso il programma non è un costo. È un rapporto: più di 100.000 aziende nella catena di fornitura della difesa americana necessitano di un audit di cybersicurezza indipendente, contro circa 100 valutatori accreditati autorizzati a svolgerlo.
“Quindi i conti semplicemente non tornano,” ha detto ai giornalisti Kirsten Davies, il chief information officer del Pentagono, in quella che potrebbe essere la frase più citabile mai prodotta da una revisione della certificazione federale.
Lunedì, il Dipartimento della Difesa ha sospeso la Fase 2 del programma di Certificazione del Modello di Maturità della Cybersicurezza, il regime di conformità che avrebbe richiesto ai contraenti che gestiscono informazioni sensibili ma non classificate di superare un audit da parte di un valutatore terzo certificato prima di vincere l'assegnazione di contratti.
Quei requisiti avrebbero dovuto entrare in vigore il 10 novembre. Ora sono congelati, insieme a ogni altro traguardo CMMC in sospeso, fino a nuovo avviso.
Il 💜 della tecnologia dell'UE Gli ultimi rumori dalla scena tecnologica dell'UE, una storia del nostro saggio fondatore Boris e alcune opere d'arte AI discutibili. È gratuito, ogni settimana, nella tua casella di posta. Iscriviti ora! Un nuovo Task Force per la Riforma del CMMC ha 60 giorni per rivedere l'intero programma e riferire. Davies e Michael Duffey, il sottosegretario per l'acquisizione e il mantenimento, entrambi hanno rifiutato di escludere l'idea di abolire completamente il CMMC al termine della revisione.
La motivazione è esposta in un memo firmato da Davies il 13 luglio, che descrive il programma come una “lista di controllo di conformità” che è “strutturalmente incompatibile” con la necessità del dipartimento di espandere la propria base di fornitori.
La combinazione di costi di conformità, una carenza di capacità di valutazione e scadenze normative complesse, ha scritto, sta “attivamente costringendo nuovi entranti innovativi e piccole imprese a rinunciare” ai contratti di difesa.
Davies ha detto che i dati raccolti dalla Small Business Administration suggerivano che le fasi successive del CMMC potrebbero costare alle piccole e medie imprese più di 7 miliardi di dollari all'anno in approvazioni di conformità.
Kelly Loeffler, l'amministratore della SBA, ha detto che la sua agenzia aveva sentito direttamente da “piccole imprese mission-critical” che la certificazione stava diventando una barriera insostenibile per il lavoro di difesa.
Nessuno di questo ha sorpreso chiunque stesse osservando. L'Ufficio di Responsabilità del Governo ha avvertito a marzo che gli standard potrebbero rivelarsi troppo difficili e costosi per i fornitori più piccoli da soddisfare, e che alcuni avrebbero lasciato la base industriale della difesa piuttosto che provare. L'industria lo ha detto lo stesso dal 2019, anche se l'esposizione è reale: le aziende di medie dimensioni perdono più a causa della criminalità informatica rispetto ai giganti.
Il CMMC è stato ora sospeso due volte. L'amministrazione Biden lo ha fermato nel 2021 per una revisione che ha ridotto i requisiti e prodotto “CMMC 2.0”, che ha richiesto anni di elaborazione delle norme per diventare applicabile.
La Fase 1 è arrivata a novembre 2025, richiedendo auto-valutazioni. La Fase 2 avrebbe dovuto introdurre gli audit che erano l'intero scopo dell'esercizio, sostituendo l'auto-attestazione, che i rapporti dell'ispettore generale avevano ripetutamente trovato non rispettata dai contraenti.
Le auto-valutazioni della Fase 1 rimangono in vigore. Durante la sospensione, il Pentagono afferma che controllerà la conformità attraverso quelle auto-valutazioni e controlli selezionati guidati dal governo contro lo standard NIST 800-171, il che significa attraverso il sistema di onore che il CMMC era stato progettato per sostituire.
La gestione informatica federale non ha recentemente ispirato fiducia su questo punto, dato che la CISA, l'agenzia incaricata di difendere le reti civili, non aveva un proprio piano di risposta agli incidenti quando è stata violata.
Davies è stata attenta a dire che il denaro già speso per la certificazione non è stato sprecato. “Ogni dollaro speso per la sicurezza è un dollaro speso saggiamente,” ha detto, rivolgendosi ai contraenti che avevano speso un anno e somme considerevoli per prepararsi a una scadenza che è svanita un lunedì pomeriggio. “Non stiamo riducendo la cybersicurezza attraverso questa misura. Stiamo riducendo la burocrazia.”
La mossa si adatta a un dipartimento che è diventato rilassato riguardo alle proprie regole quando rallentano gli acquisti, avendo messo al bando l'Anthropic come minaccia alla sicurezza mentre le sue agenzie di intelligence continuavano a utilizzare Claude, e avendo trascorso anni invitando esterni a hackerare le proprie reti sulla teoria che attaccanti amichevoli superano la burocrazia.
Il Cyber AB, l'ente che accredita i valutatori CMMC, non è stato avvisato in anticipo. Davies ha confermato lunedì che il suo ufficio non lo aveva ancora informato della sospensione o della revisione.
Una richiesta di informazioni viene ora inviata alla base industriale della difesa. Il task force leggerà le risposte prima di raccomandare cosa sostituire il programma, se qualcosa lo farà, e riferirà a metà settembre.
Altri articoli
Il Pentagono sospende la regola di audit informatico che stava escludendo i piccoli fornitori.
Il Pentagono ha sospeso gli audit di cybersicurezza della Fase 2 del CMMC, citando costi proibitivi e una carenza di valutatori che allontana i piccoli appaltatori.
