Пентагон приостановил правило аудита кибербезопасности, которое выдавливало мелких поставщиков.

Пентагон приостановил правило аудита кибербезопасности, которое выдавливало мелких поставщиков.

      Фигура, которая, похоже, завершила программу, не является затратами. Это соотношение: более 100 000 компаний в американской цепочке поставок обороны нуждаются в независимом аудите кибербезопасности, при этом примерно 100 аккредитованных оценщиков имеют лицензию на его проведение.

      «Так что математика просто не сходится», — сказала журналистам Кирстен Дэвис, главный информационный директор Пентагона, в том, что может стать самой цитируемой фразой, когда-либо произнесенной в ходе федерального обзора сертификации.

      В понедельник Министерство обороны приостановило Вторую фазу программы сертификации модели зрелости кибербезопасности (CMMC), режима соблюдения, который требовал бы от подрядчиков, работающих с чувствительной, но неклассифицированной информацией, пройти аудит у сертифицированного стороннего оценщика перед получением контрактов.

      Эти требования должны были вступить в силу 10 ноября. Теперь они заморожены, как и все другие ожидающие этапы CMMC, до дальнейшего уведомления.

      💜 технологий ЕС Последние новости из технологической сцены ЕС, история от нашего мудрого основателя Бориса и несколько сомнительных произведений искусственного интеллекта. Это бесплатно, каждую неделю, в вашем почтовом ящике. Подпишитесь сейчас!

      Новая созданная рабочая группа по реформе CMMC имеет 60 дней для обзора всей программы и предоставления отчета. Дэвис и Майкл Даффи, заместитель министра по закупкам и поддержанию, оба отказались исключить возможность полного отмены CMMC по завершении обзора.

      Логика изложена в меморандуме, подписанном Дэвис 13 июля, в котором программа описывается как «контрольный список соблюдения», который «структурно несовместим» с необходимостью министерства расширить свою базу поставщиков.

      Сочетание затрат на соблюдение, нехватки возможностей для оценки и сложных регуляторных сроков, написала она, «активно заставляет инновационных новых участников и малый бизнес отказаться» от оборонных контрактов.

      Дэвис сообщила, что данные, собранные Администрацией малого бизнеса, показывают, что более поздние фазы CMMC могут стоить малым и средним компаниям более 7 миллиардов долларов в год на одобрение соблюдения.

      Келли Лоэфлер, администратор SBA, сказала, что ее агентство напрямую слышало от «критически важных малых предприятий», что сертификация становится неприемлемым барьером для работы в оборонной сфере.

      Ничто из этого не стало сюрпризом для тех, кто наблюдал. Офис генерального инспектора правительства предупредил в марте, что стандарты могут оказаться слишком сложными и дорогими для выполнения меньшими поставщиками, и что некоторые покинут оборонную промышленность, а не будут пытаться. Отрасль говорит то же самое с 2019 года, хотя риски реальны: средние компании теряют больше от киберпреступности, чем гиганты.

      CMMC теперь приостановлена дважды. Администрация Байдена приостановила ее в 2021 году для обзора, который упростил требования и привел к созданию «CMMC 2.0», для чего потребовались годы разработки правил, чтобы это стало обязательным.

      Первая фаза началась в ноябре 2025 года, требуя самооценок. Вторая фаза должна была ввести аудиты, которые были всей целью этого мероприятия, заменяя самоаттестацию, которую отчеты генерального инспектора неоднократно указывали, что подрядчики не выполняли.

      Самооценки первой фазы остаются в силе. Во время приостановки Пентагон заявляет, что будет контролировать соблюдение через эти самооценки и выбранные проверки, проводимые правительством, в соответствии со стандартом NIST 800-171, что означает, что это будет осуществляться через систему доверия, которую CMMC была создана заменить.

      Федеральная кибербезопасность в последнее время не внушала доверия в этом отношении, учитывая, что CISA, агентство, ответственное за защиту гражданских сетей, не имело собственного плана реагирования на инциденты, когда произошло нарушение.

      Дэвис осторожно отметила, что деньги, уже потраченные на сертификацию, не были потрачены зря. «Каждый доллар, потраченный на безопасность, — это разумно потраченный доллар», — сказала она, обращаясь к подрядчикам, которые потратили год и значительные суммы на подготовку к сроку, который исчез в понедельник днем. «Мы не уменьшаем кибербезопасность через эту меру. Мы уменьшаем бюрократию».

      Этот шаг подходит министерству, которое стало более расслабленным в отношении своих собственных правил, когда они замедляют закупки, занесло Anthropic в черный список как угрозу безопасности, в то время как его разведывательные агентства продолжали использовать Claude, и потратило годы на приглашение посторонних взломать свои сети, исходя из теории, что дружелюбные атакующие лучше, чем бумажная работа.

      Cyber AB, орган, аккредитующий оценщиков CMMC, не был уведомлен заранее. Дэвис подтвердила в понедельник, что ее офис еще не уведомил его о приостановке или обзоре.

      Запрос информации теперь направляется в оборонную промышленность. Рабочая группа прочитает ответы, прежде чем рекомендовать, что может заменить программу, если что-то заменит, и предоставит отчет в середине сентября.

Другие статьи

Сеульский суд приостановил указ, который назначал основателя Coupang контролирующим лицом компании. Сеульский суд приостановил указ, который назначал основателя Coupang контролирующим лицом компании. Сеульский апелляционный суд приостановил назначение основателя Coupang Бома Кима контролирующей фигурой группы, пока продолжается его иск против регулятора. Банковский регулятор Канады назвал Клода Мифоса в предупреждении для банков Банковский регулятор Канады назвал Клода Мифоса в предупреждении для банков Электронное письмо, выпущенное в апреле в рамках правил доступа к информации, показывает, что OSFI Канады предупреждает руководителей банковских технологий о Claude Mythos от Anthropic. Отгрузки смартфонов в Китае падают пятый квартал подряд из-за роста цен на память Отгрузки смартфонов в Китае падают пятый квартал подряд из-за роста цен на память Отгрузки смартфонов в Китае упали на 4,3% до 66 миллионов единиц во втором квартале 2026 года, что стало пятимя подряд снижением, так как цены на память повысили стоимость Android. Huawei и Apple увеличили свои продажи. Следующий энергетический обязательство ИИ Белого дома нацелено на коммунальные услуги Следующий энергетический обязательство ИИ Белого дома нацелено на коммунальные услуги Белый дом планирует попросить коммунальные службы, операторов дата-центров и губернаторов обязаться, что спрос на электроэнергию от ИИ не повысит счета за электричество для домохозяйств. Thomson Reuters сокращает количество инженеров и нанимает специалистов с опытом работы в области ИИ. Thomson Reuters сокращает количество инженеров и нанимает специалистов с опытом работы в области ИИ. Thomson Reuters сокращает инженерные должности, так как внедряет ИИ в юридические и налоговые продукты. Говорят, что это небольшое количество. Сотрудникам сообщили до 500. Банковский регулятор Канады назвал Клода Мифоса в предупреждении для банков Банковский регулятор Канады назвал Клода Мифоса в предупреждении для банков Электронное письмо, отправленное в апреле и опубликованное в соответствии с правилами доступа к информации, показывает, что OSFI Канады предупреждает руководителей банковских технологий о Claude Mythos от Anthropic.

Пентагон приостановил правило аудита кибербезопасности, которое выдавливало мелких поставщиков.

Пентагон приостановил аудиты кибербезопасности CMMC Фазы 2, ссылаясь на запретительные расходы и нехватку оценщиков, что вынуждает мелких подрядчиков выходить с рынка.