美方指控大陆透过下游转包商窃取洛马的F-35技术，从而建造自己的J-31。图为J-31于珠海进行训练。(图/中新社)

"Breaking Defence"12日报导，为防止中国大陆网路间谍窃取F-35数据，并用于建造如J-31这类的先进战机，五角大厦主管武获与维持(A&S)的副部长办公室(OUSD)，正推动"网路安全成熟模式认证"(Cybersecurity Maturity Model Certification, CMMC)。

CMMC共分5级，主管CMMC的伯斯特贾尼克(Stacy Bostjanick)解释，随著五角大厦CMMC计画的推展，该标准将适用供应链上的每一间企业，而这反映出美方对承包商遵守安全规范的信赖不足。厂商对安全准则的轻忽，为大陆大量窃取F-35数据广开方便之门，进而助中共建造诸如J-31等先进战机。

换言之，一旦碰触武器设计等资讯，五角大厦必须确保网路安全处于最佳状态。他强调，"很多厂商不明白军方要求为何，只想著遵守就能拿下标案。因此，中国大陆生产的J-31看来跟美国的F-35很类似"。

伯斯特贾尼克解释，验证要求不仅是CMMC不可缺少的一环，也有其必要性。即使透过事前认辅(prior voluntary guidance)，承包商不当处理数据仍让五角大厦损失大量重要情报。透过长期运作的间谍计画，大陆取得美国计画并建造J-31匿踪战机。这类的间谍行动开始于2007年，并透过洛克希德马丁的转包商进行。

儘管CMMC无法保证完全防范国家行为者再次採取类似罪行；但透过法律与规范的拟定，CMMC将机密资讯的流通限制在能保证安全的公司。由于国家行为者持续发动产业间谍活动并窃取智慧财产权，CMMC让每个节点难以突破从而展现极大的价值。

他也提到，CNNC共分5级，如果计画管理者与主承包商确遵级别的规范，小型转包商就不会收到其无法保障安全的非机密资料。实务上常发现，承包商将整个数据透过LINE传递给转包商，这让后者取得原本他不需要的资料，这时就需要CMMC。

不过，专为军方供应商用现货的承包商，只要不接触受管制资讯，就无须取得CMMC的认证。"CMMC的目的就像确认你的邻居没有在偷用你的网飞(Netflix)"，"它容易且让网路维持基本安全，我建议所有人(指有意投标的厂商)都申请；但如果你是商用现货厂商，则无需申请"。

至于其他想要与军方签署合约的承包商，取得网路安全认证已不仅是选项，而成为构成要件。这让企业间谍透过电脑系统夺取智慧财产权与敏感资讯的难度提高。

CMMC的发想来自大流行期间的公共卫生防治，透过全面而更好的实务作法，减低网路间谍的危害。为确保安全，即使在小的事项也要遵守一致标准。随著CMMC推行，自2026财年起，整条供应链上的承包商与转包商都要符合规范。