חברות ישראליות המוכרות או חושבות למכור למשרד ההגנה האמריקאי או לסוכנויות ממשל אחרות – חשוב שתכירו!
משרד ההגנה האמריקאי (DoD) הינו אחד מסוכנויות הממשל האמריקאיות בעל התקציב הגדול ביותר לרכש סחורות ושירותים. לאחרונה יזם המשרד סט דרישות חדש עבור כל קבלני המשנה עמם הוא עובד, או בשמו הרשמי: Cybersecurity Maturity Model Certification (CMMC).
CMMC הינה יוזמה של DoD להגן על בסיס תעשיית ההגנה של ארה”ב מפני האקרים, בין אם מדינות לאום או פושעי סייבר לא מדינתיים. המניע של ה- DoD הוא להבטיח ששרשרת האספקה הגדולה שלו הבנויה מקבלנים רבים, נוקטת צעדים נאותים כדי להבטיח את האבטחה של מידע מבוקר לא מסווג (CUI) ומידע חוזים פדרלי (FCI). התפיסה בבסיס היוזמה היא כי יצירת סטנדרטים אחידים של אבטחת סייבר לפיהם ניתן להעריך את אבטחת הסייבר של כל קבלני המשנה של הסוכנות, תוביל להתייחסות רצינית יותר ועמידה בסטנדרטים של אבטחת סייבר מצידם.
הגדרת הסוכנות ל- FCI הינה : “מידע, שאינו מיועד לפרסום פומבי, אשר מסופק על ידי הממשלה או נוצר עבור הממשלה במסגרת חוזה לפיתוח או אספקת מוצר או שירות לממשלה”. בעוד ש- CUI מוגדר כ”מידע שהממשלה יוצרת, או מחזיקה בו, או שישות יוצרת או מחזיקה בו עבור או בשמה של הממשלה, אשר חוק, תקנה או מדיניות ממשלתית, מחייבת או מתירה לסוכנות לטפל בו באופן מפוקח.”
ישנן שלוש רמות של תאימות ל-CMMC:
רמה 1 מתמקדת בשיטות אבטחת סייבר בסיסיות ומיועדת לעסקים קטנים עם משאבים מוגבלים, שלא צפויים להתמודד עם איומים על הנתונים שלהם ומחזיקים ב-FCI אך לא ב-CUI. ישנן 17 בקרות ברמה 1, המתמקדות בהיגיינת סייבר בסיסית כמו עדכון תוכנת תיקון כדי לסגור נקודות תורפה פוטנציאליות.
רמה 2 מתמקדת בעמידה בתקנה 800-171 של המכון הלאומי לתקנים וטכנולוגיות (NIST). רמה זו מוסיפה עוד 110 שיטות סייבר נדרשות. הסמכת CMMC רמה 2 נחוצה למי שרוצה להציע הצעות לחוזי DoD שנותנים מענה לנושאים הבאים: מידע מבוקר לא מסווג (CUI) / מידע הגנה מבוקר (CDI) מידע טכני מבוקר (CTI) ITAR או נתוני פיקוח יצוא.
לבסוף רמה 3 מוסיפה 130 דרישות אבטחת סייבר נוספות, ונדרשת עבור קבלני DoD שמטפלים בתוכניות הרגישות ביותר של ממשלת ארה”ב.
רמה 1 מאפשרת לקבלני DoD לבצע הערכות עצמיות, רמה 2 דורשת שמבקר צד שלישי יאשר עמידה בדרישות ובתקנות ורמה 3 תדרוש בדיקות ממשלתיות של תאימות.
CMMC אמור להיכנס לתוקף ב-1 באוקטובר 2025. ארגונים שלא יעמדו בדרישות CMMC עד תאריך זה לא יורשו להציע הצעות לחוזי DoD. קהל היעד הוא די מקיף, וכולל את כל קבלני וקבלני המשנה של DoD – כמו גם קבלנים זרים – בכל רמות שרשרת האספקה.
אנו ממליצים בחום לחברות ישראליות המחזיקות בחוזי רכש (בכל רמה בשרשרת האספקה) עם משרד ההגנה, או חברות המעוניינות בכך, ללמוד ולהכיר את הדרישות החדשות ולעמוד בתקנים הללו.
חשוב להסתכל על CMMC גם כעל הזדמנות ליתרון תחרותי, עבור אותן חברות העומדות בדרישות אלו ומציגות כבר עתה התייחסות רצינית לאבטחת סייבר, מה שיכול להוות יתרון בזכייה בעסקאות.
יתרה מכך, בעוד ש-CMMC היא כיום יוזמת משרד ההגנה, בהתחשב בחשיבות הגוברת שנותנת ממשלת ארה”ב להגנת סייבר, ניתן לצפות שדרישות התאימות של CMMC יאומצו בסופו של דבר במשרדי ממשלה פדרליים נוספים בארה”ב. יוזמות להטיל דרישות CMMC על כלל הקבלנים הפדרליים ברחבי ממשלת ארה”ב כבר נמצאות בשיח.
חברות ישראליות המעוניינות לבחון כיצד הן עשויות להיות מושפעות מ-CMMC ולקבל מידע נוסף על התקן, מוזמנות לפנות למנהל אבטחת הסייבר בנספחות הכלכלית מסחרית בוושינגטון, ג’וש כהן, בכתובת : josh.cohen@israeltrade.gov.il
