關鍵字:供應鏈安全、CMMC、國防產業網路安全
(本評析內容及建議,屬作者意見,不代表財團法人國防安全研究院立場)
鑒於烏俄戰爭中軍援烏克蘭的成功故事,加上2022年8月中共對台軍演把類封鎖搬上世人眼前,讓以美國為首的民主陣營安全社群開始討論各式預先因應武器援助方案。由於無法評估戰爭D日,所謂戰前N日開啟軍備運輸的構想,無異於緣木求魚。接續討論從最傳統的鄰近台灣國家預先儲備售台武器彈藥,到提供預借款讓台灣儘可能先行儲備武器彈藥,但均面臨諸多窒礙與質疑。
直到最近,拋出在台設置軍備生產線的倡議試水溫。[1]這樣的務實倡議雖頗振奮人心,卻讓人一則以喜,一則以憂。喜的當然是台灣戰時的軍需無虞,且得以藉此成為美國的國防產業供應鏈的一環,建立相當規模的國防產業生態圈;另一方面,鑒於全球各地的美國國防產業供應鏈生態圈自2020年以來,無不忙於引進執行美國國防部推動的「網路安全成熟度模型認證」(Cybersecurity Maturity Model Certification, CMMC),我方如有意成為美國國防產業供應鏈的一環,必須即刻展開引進CMMC的預置作業,做好準備迎接新局。
CMMC是什麼?
CMMC要求國防廠商在競標國防契約時,必須證明自身於非聯邦機密網路中所儲存、傳輸或處理之「聯邦合約資訊」(Federal Contract Information, FCI)及「受控非機密資訊」(Controlled Unclassified Information, CUI)的保護,符合其網路安全成熟度層級的各項驗證要求。美國國防部強調,CMMC迄今仍為發展精進中的體制,在規則制定完成前,仍屬概念性(Notional)之規定。CMMC 1.0正式發布於2020年11月30日,共分為5級驗證。2021年11月17日則推出CMMC 2.0,改為3級驗證,2022年10月25日起該3級不再刻意區別為基礎、進階與專家等級(如圖示)。[2] 國防聯邦採購補充條例(DFARS)要求「受控非機密資訊」控管必須符合美國國家標準與技術研究院(NIST)針對保護非聯邦系統和組織中「受控非機密資訊」而發布出版之NIST Special Publication 800-171,如果需要第3級驗證,則還須符合NIST SP 800-172。[3] 整個CMMC圍繞著國防採購合約制度,對於國防採購合約驗證等級的認定,係由美國國防部國防採購合約管理局(Defense Contract Management Agency, DCMA)釋出。對於CUI的範圍認定,除了由國防供應鏈廠商界定純粹自己的產出資訊外,其餘多由採購合約甲方,亦即由國防採購合約管理局予以界定。[4]
美國為何要推CMMC?
在2020年12月SolarWinds軟體供應鏈遭遇網路攻擊事件之前,美國國防部自該年11月底即已開始力推CMMC。追根究柢,美國國防供應鏈主要與協力廠商遭受來自境外敵對勢力網路攻擊以及竊取營業秘密,已然超過十載。眼見中共新製軍武處處有美製風格且毫不遮掩,美國政府除了加強對機密資訊的實體與網路保護外,為因應中共情蒐涓滴不漏的行為模式,聯邦機構及國防廠商所產生、經手、儲存與處理的諸多類似「受控非機密資訊」之非機密資訊,自然而然成為中共及其他敵對勢力之高價值情蒐目標,[5] 對「受控非機密資訊」加強管控的需求因而產生。
歐巴馬政府於是在2010年11月4日頒布《13556號行政命令》,要求與聯邦政府據合約關係廠商均需依循NIST SP 800-171,加強對於「受控非機密資訊」的網路與實體安全保護。但囿於執行成效不彰,歐巴馬政府又於2015年與中共簽訂《互不運用網路從事間諜行逕的協議》,[6] 爾後亦證明徒然無功。基於NIST SP 800-171複雜度高,在無主要大廠諮商奧援下,國防供應鏈中的中小企業廠商在實務上循規有相當挑戰。川普政府展開與中共的高科技脫鉤,在「乾淨網路倡議」之後,持續加強對於國防產業「受控非機密資訊」的管控,故強力推出CMMC 1.0以強化國防產業網路的安全,然遭遇不少國防聯邦採購補充條例與NIST SP 800-171對接差距的挑戰。拜登政府於2021年底蒐集各方反映後,接續更新推出CMMC 2.0,得以讓CMMC持續推動,確立成為民主、共和兩黨共識下的國家安全戰略性課題,相對於中共這個亦步亦趨挑戰(Pacing Challenge),據以保持美國先進技術與戰力的領先差距。
結論:CMMC關台灣什麼事?
自2020年底推出後,五眼聯盟(Five Eyes)中的英、加、澳,還有北約國家以及非北約盟友的日、韓,均紛紛加入CMMC行列,積極準備與美國國防產業對接。鑒於CMMC的機密等級及範圍認定,幾乎都是由國防採購專案業主決定,因此各國之國防部均扮演啟動、引入者的角色,其中以南韓執行的最為徹底,按照自身國情體制完全照搬對接美式體制,不僅讓非北約盟國在CMMC適用國家中佔有一席之地,在烏俄戰爭後也成功對北約波蘭輸出具有美國軍工技術背景的軍武。[7]
台灣早自2014年就已經強調「資安即國安」,並積極發展資訊安全產業,近年來各式國造先進軍備一一出廠加入測評行列,經過類似漢翔在台進行F-16構改升級專案後,國軍與國防產業供應鏈不僅能力受到肯定,資安及反情報也達標,讓美國首肯在台試射美軍現役愛國者三型飛彈。[8]畢竟,台灣國防廠商若能加入美國之國防產業供應鏈,將有利其擴大市場規模效益,而在CMMC於2023年5月完成完整規則制定、並在2026年全面施行之前,[9]台灣國防廠商必須加緊達到CMMC基本門檻。話說「資安即國安」,如能仿效南韓,由國防部相關單位帶領台灣國防廠商施行與美方CMMC的無縫對接,對於美國以烏俄戰爭為鑒、並可能下決心進一步在台建立武器生產組裝線,實乃不折不扣之「增益加速器」(Enabling Accelerator)。千頭萬緒,時程緊迫,台灣啟動的腳步,雖刻不容緩,但也需留意是紮實地踏在正確的方向上(Solid Step in the Right Direction)。
圖、比較CMMC2.0 與CMMC1.0
資料來源:“About CMMC,” Office of the Under Secretary of Defense for Acquisition & Sustainment, https://www.acq.osd.mil/cmmc/about-us.html.
(本評析內容及建議,屬作者意見,不代表財團法人國防安全研究院立場)
鑒於烏俄戰爭中軍援烏克蘭的成功故事,加上2022年8月中共對台軍演把類封鎖搬上世人眼前,讓以美國為首的民主陣營安全社群開始討論各式預先因應武器援助方案。由於無法評估戰爭D日,所謂戰前N日開啟軍備運輸的構想,無異於緣木求魚。接續討論從最傳統的鄰近台灣國家預先儲備售台武器彈藥,到提供預借款讓台灣儘可能先行儲備武器彈藥,但均面臨諸多窒礙與質疑。
直到最近,拋出在台設置軍備生產線的倡議試水溫。[1]這樣的務實倡議雖頗振奮人心,卻讓人一則以喜,一則以憂。喜的當然是台灣戰時的軍需無虞,且得以藉此成為美國的國防產業供應鏈的一環,建立相當規模的國防產業生態圈;另一方面,鑒於全球各地的美國國防產業供應鏈生態圈自2020年以來,無不忙於引進執行美國國防部推動的「網路安全成熟度模型認證」(Cybersecurity Maturity Model Certification, CMMC),我方如有意成為美國國防產業供應鏈的一環,必須即刻展開引進CMMC的預置作業,做好準備迎接新局。
CMMC是什麼?
CMMC要求國防廠商在競標國防契約時,必須證明自身於非聯邦機密網路中所儲存、傳輸或處理之「聯邦合約資訊」(Federal Contract Information, FCI)及「受控非機密資訊」(Controlled Unclassified Information, CUI)的保護,符合其網路安全成熟度層級的各項驗證要求。美國國防部強調,CMMC迄今仍為發展精進中的體制,在規則制定完成前,仍屬概念性(Notional)之規定。CMMC 1.0正式發布於2020年11月30日,共分為5級驗證。2021年11月17日則推出CMMC 2.0,改為3級驗證,2022年10月25日起該3級不再刻意區別為基礎、進階與專家等級(如圖示)。[2] 國防聯邦採購補充條例(DFARS)要求「受控非機密資訊」控管必須符合美國國家標準與技術研究院(NIST)針對保護非聯邦系統和組織中「受控非機密資訊」而發布出版之NIST Special Publication 800-171,如果需要第3級驗證,則還須符合NIST SP 800-172。[3] 整個CMMC圍繞著國防採購合約制度,對於國防採購合約驗證等級的認定,係由美國國防部國防採購合約管理局(Defense Contract Management Agency, DCMA)釋出。對於CUI的範圍認定,除了由國防供應鏈廠商界定純粹自己的產出資訊外,其餘多由採購合約甲方,亦即由國防採購合約管理局予以界定。[4]
美國為何要推CMMC?
在2020年12月SolarWinds軟體供應鏈遭遇網路攻擊事件之前,美國國防部自該年11月底即已開始力推CMMC。追根究柢,美國國防供應鏈主要與協力廠商遭受來自境外敵對勢力網路攻擊以及竊取營業秘密,已然超過十載。眼見中共新製軍武處處有美製風格且毫不遮掩,美國政府除了加強對機密資訊的實體與網路保護外,為因應中共情蒐涓滴不漏的行為模式,聯邦機構及國防廠商所產生、經手、儲存與處理的諸多類似「受控非機密資訊」之非機密資訊,自然而然成為中共及其他敵對勢力之高價值情蒐目標,[5] 對「受控非機密資訊」加強管控的需求因而產生。
歐巴馬政府於是在2010年11月4日頒布《13556號行政命令》,要求與聯邦政府據合約關係廠商均需依循NIST SP 800-171,加強對於「受控非機密資訊」的網路與實體安全保護。但囿於執行成效不彰,歐巴馬政府又於2015年與中共簽訂《互不運用網路從事間諜行逕的協議》,[6] 爾後亦證明徒然無功。基於NIST SP 800-171複雜度高,在無主要大廠諮商奧援下,國防供應鏈中的中小企業廠商在實務上循規有相當挑戰。川普政府展開與中共的高科技脫鉤,在「乾淨網路倡議」之後,持續加強對於國防產業「受控非機密資訊」的管控,故強力推出CMMC 1.0以強化國防產業網路的安全,然遭遇不少國防聯邦採購補充條例與NIST SP 800-171對接差距的挑戰。拜登政府於2021年底蒐集各方反映後,接續更新推出CMMC 2.0,得以讓CMMC持續推動,確立成為民主、共和兩黨共識下的國家安全戰略性課題,相對於中共這個亦步亦趨挑戰(Pacing Challenge),據以保持美國先進技術與戰力的領先差距。
結論:CMMC關台灣什麼事?
自2020年底推出後,五眼聯盟(Five Eyes)中的英、加、澳,還有北約國家以及非北約盟友的日、韓,均紛紛加入CMMC行列,積極準備與美國國防產業對接。鑒於CMMC的機密等級及範圍認定,幾乎都是由國防採購專案業主決定,因此各國之國防部均扮演啟動、引入者的角色,其中以南韓執行的最為徹底,按照自身國情體制完全照搬對接美式體制,不僅讓非北約盟國在CMMC適用國家中佔有一席之地,在烏俄戰爭後也成功對北約波蘭輸出具有美國軍工技術背景的軍武。[7]
台灣早自2014年就已經強調「資安即國安」,並積極發展資訊安全產業,近年來各式國造先進軍備一一出廠加入測評行列,經過類似漢翔在台進行F-16構改升級專案後,國軍與國防產業供應鏈不僅能力受到肯定,資安及反情報也達標,讓美國首肯在台試射美軍現役愛國者三型飛彈。[8]畢竟,台灣國防廠商若能加入美國之國防產業供應鏈,將有利其擴大市場規模效益,而在CMMC於2023年5月完成完整規則制定、並在2026年全面施行之前,[9]台灣國防廠商必須加緊達到CMMC基本門檻。話說「資安即國安」,如能仿效南韓,由國防部相關單位帶領台灣國防廠商施行與美方CMMC的無縫對接,對於美國以烏俄戰爭為鑒、並可能下決心進一步在台建立武器生產組裝線,實乃不折不扣之「增益加速器」(Enabling Accelerator)。千頭萬緒,時程緊迫,台灣啟動的腳步,雖刻不容緩,但也需留意是紮實地踏在正確的方向上(Solid Step in the Right Direction)。
圖、比較CMMC2.0 與CMMC1.0
資料來源:“About CMMC,” Office of the Under Secretary of Defense for Acquisition & Sustainment, https://www.acq.osd.mil/cmmc/about-us.html.
