「Breaking Defence」12日報導,為防止中國大陸網路間諜竊取F-35數據,並用於建造如J-31這類的先進戰機,五角大廈主管武獲與維持(A&S)的副部長辦公室(OUSD),正推動「網路安全成熟模式認證」(Cybersecurity Maturity Model Certification, CMMC)。未來,國防承包商與轉包商須取得認證,才得以投標五角大廈標案,以維持國防部供應鏈的安全,並避免美軍智慧財產權與敏感資訊因網路間諜而受侵害。

CMMC共分5級,主管CMMC的伯斯特賈尼克(Stacy Bostjanick)解釋,隨著五角大廈CMMC計畫的推展,該標準將適用供應鏈上的每一間企業,而這反映出美方對承包商遵守安全規範的信賴不足。廠商對安全準則的輕忽,為大陸大量竊取F-35數據廣開方便之門,進而助中共建造諸如J-31等先進戰機。

換言之,一旦碰觸武器設計等資訊,五角大廈必須確保網路安全處於最佳狀態。他強調,「很多廠商不明白軍方要求為何,只想著遵守就能拿下標案。因此,中國大陸生產的J-31看來跟美國的F-35很類似」。

伯斯特賈尼克解釋,驗證要求不僅是CMMC不可缺少的一環,也有其必要性。即使透過事前認輔(prior voluntary guidance),承包商不當處理數據仍讓五角大廈損失大量重要情報。透過長期運作的間諜計畫,大陸取得美國計畫並建造J-31匿蹤戰機。這類的間諜行動開始於2007年,並透過洛克希德馬丁的轉包商進行。

儘管CMMC無法保證完全防範國家行為者再次採取類似罪行;但透過法律與規範的擬定,CMMC將機密資訊的流通限制在能保證安全的公司。由於國家行為者持續發動產業間諜活動並竊取智慧財產權,CMMC讓每個節點難以突破從而展現極大的價值。

他也提到,CNNC共分5級,如果計畫管理者與主承包商確遵級別的規範,小型轉包商就不會收到其無法保障安全的非機密資料。實務上常發現,承包商將整個數據透過LINE傳遞給轉包商,這讓後者取得原本他不需要的資料,這時就需要CMMC。

不過,專為軍方供應商用現貨的承包商,只要不接觸受管制資訊,就無須取得CMMC的認證。「CMMC的目的就像確認你的鄰居沒有在偷用你的網飛(Netflix)」,「它容易且讓網路維持基本安全,我建議所有人(指有意投標的廠商)都申請;但如果你是商用現貨廠商,則無需申請」。

至於其他想要與軍方簽署合約的承包商,取得網路安全認證已不僅是選項,而成為構成要件。這讓企業間諜透過電腦系統奪取智慧財產權與敏感資訊的難度提高。

CMMC的發想來自大流行期間的公共衛生防治,透過全面而更好的實務作法,減低網路間諜的危害。為確保安全,即使在小的事項也要遵守一致標準。隨著CMMC推行,自2026財年起,整條供應鏈上的承包商與轉包商都要符合規範。

文章來源:CMMC: Stopping Cyber Espionage Like Chinese Theft of F-35 Data
#CMMC #F-35 #J-31 #智慧財產權 #網路間諜