美方指控大陆透过下游转包商窃取洛马的F-35技术,从而建造自己的J-31。图为J-31于珠海进行训练。(图/中新社)
"Breaking Defence"12日报导,为防止中国大陆网路间谍窃取F-35数据,并用于建造如J-31这类的先进战机,五角大厦主管武获与维持(A&S)的副部长办公室(OUSD),正推动"网路安全成熟模式认证"(Cybersecurity Maturity Model Certification, CMMC)。
未来,国防承包商与转包商须取得认证,才得以投标五角大厦标案,以维持国防部供应链的安全,并避免美军智慧财产权与敏感资讯因网路间谍而受侵害。
CMMC共分5级,主管CMMC的伯斯特贾尼克(Stacy Bostjanick)解释,随著五角大厦CMMC计画的推展,该标准将适用供应链上的每一间企业,而这反映出美方对承包商遵守安全规范的信赖不足。厂商对安全准则的轻忽,为大陆大量窃取F-35数据广开方便之门,进而助中共建造诸如J-31等先进战机。
换言之,一旦碰触武器设计等资讯,五角大厦必须确保网路安全处于最佳状态。他强调,"很多厂商不明白军方要求为何,只想著遵守就能拿下标案。因此,中国大陆生产的J-31看来跟美国的F-35很类似"。
伯斯特贾尼克解释,验证要求不仅是CMMC不可缺少的一环,也有其必要性。即使透过事前认辅(prior voluntary guidance),承包商不当处理数据仍让五角大厦损失大量重要情报。透过长期运作的间谍计画,大陆取得美国计画并建造J-31匿踪战机。这类的间谍行动开始于2007年,并透过洛克希德马丁的转包商进行。
儘管CMMC无法保证完全防范国家行为者再次採取类似罪行;但透过法律与规范的拟定,CMMC将机密资讯的流通限制在能保证安全的公司。由于国家行为者持续发动产业间谍活动并窃取智慧财产权,CMMC让每个节点难以突破从而展现极大的价值。
他也提到,CNNC共分5级,如果计画管理者与主承包商确遵级别的规范,小型转包商就不会收到其无法保障安全的非机密资料。实务上常发现,承包商将整个数据透过LINE传递给转包商,这让后者取得原本他不需要的资料,这时就需要CMMC。
不过,专为军方供应商用现货的承包商,只要不接触受管制资讯,就无须取得CMMC的认证。"CMMC的目的就像确认你的邻居没有在偷用你的网飞(Netflix)","它容易且让网路维持基本安全,我建议所有人(指有意投标的厂商)都申请;但如果你是商用现货厂商,则无需申请"。
至于其他想要与军方签署合约的承包商,取得网路安全认证已不仅是选项,而成为构成要件。这让企业间谍透过电脑系统夺取智慧财产权与敏感资讯的难度提高。
CMMC的发想来自大流行期间的公共卫生防治,透过全面而更好的实务作法,减低网路间谍的危害。为确保安全,即使在小的事项也要遵守一致标准。随著CMMC推行,自2026财年起,整条供应链上的承包商与转包商都要符合规范。
0
