调查:美国电子制造商退出国防市场的原因
在一项新的IPC行业调查和报告中,四分之一(24%)的电子制造商表示,遵守网络安全成熟度模型认证(CMMC)的成本和负担可能迫使他们退出美国国防部(DoD)的供应链。
全球电子制造协会IPC进行的调查还发现,对许多中小企业(SMB)来说,遵守CMMC的成本和负担可能超过与国防部做生意的好处。
此外,33%的受访者表示,CMMC将削弱美国国防电子工业基础,18%的受访者表示不确定,凸显了所涉及的不确定性。41%的人认为,将CMMC条款适用于他们的供应商将在供应链中产生其他问题。
IPC主席兼首席执行官John Mitchell表示:“网络安全对于美国国家安全来说是必须的,但在目前的方法下,实现CMMC合规的成本和负担可能会迫使许多中小制造商退出国防部供应链,对国家安全产生负面影响。”“CMMC的目标是善意的,但实现这些目标不能以牺牲供应链健康的其他关键方面为代价。”
大多数供应商希望并愿意在CMMC准备上花费超过5万美元,近三分之一(32%)的供应商报告说,他们将需要一到两年的时间来准备CMMC评估。然而,超过一半的供应商表示,超过10万美元的实施成本将使CMMC准备过于昂贵。国防部自己的成本分析估计,第一年CMMC成熟度级别3 (ML3)认证的成本将超过118,000美元。这意味着国防部自己估计的CMMC合规成本对77%的IPC调查受访者来说太高了。
米切尔补充说:“五角大楼需要考虑到,大多数中小企业没有专门的网络安全人员来实现这些先决条件,虽然许多商业电子制造商与国防社区有相当多的业务,但他们自己并不认为自己是国防承包商。”
该研究报告的作者、网络安全专家莱斯利·温斯坦(Leslie Weinstein)表示,国防部可以通过利用现有的行业标准和认证,如与国防部合作设计的电子行业“可信供应商”标准IPC-1791,降低CMMC合规的成本和不确定性;或者HITRUST或国际标准组织提供的证明。
“在招聘网络安全专业人员时,国防部认可各种受人尊敬的、行业驱动的认证,”温斯坦说。“采用相同的方法认证供应商,将允许公司在安全上投资更多,而不是在冗余审计,这将迅速创建一个公司池,这些公司能够竞标包含CMMC DFARS条款的国防部招标。重要的是,它将防止美国国防工业基础的进一步侵蚀。”,,
IPC在2021年2月25日至3月5日期间进行了调查,收集了108份来自合同制造商、印刷电路板制造商、原始设备制造商和供应商的回复,这些供应商自述他们计划在未来5年内进行CMMC评估。