美國國防產業供應鏈網路安全認證: 台灣的機會與挑戰
2022.11.18
瀏覽數
1785
壹、新聞重點
據2022年9月15日Aviation Week報導,美國國防部國防合約管理局(Defense Contract Management Agency, DCMA)於8月19日提出,在Honeywell負責產製的F-135渦輪機幫浦內,發現未經授權採用中國大陸製稀土鈷和釤合金產品的磁鐵零件。由於此舉違反禁用中製產品之規定,五角大廈一度暫停F-35B戰機出貨,待調查無關乎資安洩密並授權豁免後,才恢復出貨,未來將逐步排除來自中國大陸的關鍵稀土合金零件。[1] 各界雖注意到美國加強國防供應鏈管理,但這件事的始末很可能必須歸功於美國國防部自2020年以來推動的「網路安全成熟度模型認證」(Cybersecurity Maturity Model Certification, CMMC)制度,由於CMMC規定,即使是開源軟體料件,也必須納入「軟體材料清單」(Software Bill of Materials, SBOM)管制,國防合約管理局才能據以揭露、清查與確認無資安外洩之虞。以下針對CMMC及其對台灣的機會與挑戰進行說明,並分析引進CMMC的預置作業所需之準備。
貳、安全意涵
一、美國防制中共竊取國防廠商之「受控非機密資訊」
CMMC要求國防廠商在競標國防合約時,必須證明自身於非聯邦機密網路中所儲存、傳輸或處理之「聯邦合約資訊」(Federal Contract Information, FCI)及「受控非機密資訊」(Controlled Unclassified Information, CUI)的保護,符合其網路安全成熟度層級的各項驗證要求,以符合「國防聯邦採購補充條例」(DFARS)中,對於「受控非機密資訊」控管,必須符合美國國家標準與技術研究院(NIST)針對保護非聯邦系統和組織中「受控非機密資訊」所出版之NIST Special Publication 800-171,如果需要第3級管制驗證,則還須符合NIST SP 800-172。[2]
美國國防部之所以自2020年11月底即已開始力推CMMC,主要是因為美國國防供應鏈核心廠商與協力廠商遭受來自惡意網路攻擊以及竊取營業秘密,讓美國先進科技優勢不斷流失。眼見中共新製軍武毫不遮掩地仿造美式武器風格,美國政府除了加強資安之外,為因應中共點點滴滴的全面情蒐模式,聯邦機構及國防廠商所產生、經手、儲存與處理的諸多類似「受控非機密資訊」,自然而然成為中共之情蒐高價值目標,[3] 美國因而警覺必須對「受控非機密資訊」加強管控。歐巴馬政府於是在2010年11月4日頒布《13556號行政命令》,要求與聯邦政府據合約關係廠商均需依循NIST SP 800-171,加強對於「受控非機密資訊」的網路與實體安全保護。川普政府持續加強管制,推出CMMC 1.0以強化國防產業網路的安全。拜登政府於2021年底蒐集各方反映意見後,接續更新推出CMMC 2.0,得以讓CMMC持續推動,以保持美國先進技術與戰力相對於中共的領先差距。
二、以國防採購合約為核心培植認證隊伍輔導廠商合規
CMMC 1.0正式發布於2020年11月30日,共分為5級驗證。2021年11月17日則推出CMMC 2.0,改為3級驗證,2022年10月25日起該3級不再刻意區別為基礎、進階與專家等級,第一級管制可以採自我認證、第二級管制可以自檢兼採第三方認證、第三級管制則政府部門認證。[4] 整個CMMC圍繞著國防採購合約制度,對於國防採購合約驗證等級的認定,係由美國國防部國防合約管理局釋出。對於「受控非機密資訊」的範圍認定,除了由國防供應鏈廠商界定純粹自己產出的資訊外,其餘多由採購合約甲方,亦即由國防合約管理局會同作需單位予以界定。[5]
CMMC對於「受控非機密資訊」的管控,承襲自NIST SP 800-171,但由於NIST SP 800-171複雜度高,在無主要大廠諮商奧援下,國防供應鏈中的中小企業廠商在實務上,尤其自我認證時,「受控非機密資訊」範圍與風險等級的界定,均存在僥倖掩飾與錯誤漏報而犯刑責的地雷,對中小企業尤其面對不小的挑戰。[6]有鑑於此,美國國防廠商自然而然求助於具備NIST SP 800-171認證能力的專家,希冀尋求諮詢與輔導之顧問服務。美國國防部採購部門衍生設立類似半官方的CMMC認證機構Cyber Accreditation Body,亦即Cyber AB,設置訂定與授權輔導認證師資,包含「合格專業人員」(CMMC Certified Professional)、「合格講師」(CMMC Certified Instructor)、「合格專師」(CMMC Certified Practitioner)、「合格評估師」(CMMC Certified Assessor)之教育訓練課程、考試、授證以及第三方認證機構的檢核與授證授權,讓授證、檢核、輔導、廠商多方利害攸關者形成龐大而熱絡的公—私協作生態系。[7]
參、趨勢研判
一、美國友盟國防產業將加緊準備腳步迎接CMMC
鑒於CMMC的機密等級及範圍認定,幾乎都是由國防採購專案業主決定,因此各國之國防部均扮演啟動、引入CMMC的角色。自2020年底推出後,美國友盟國家,包括北約國家以及諸如澳洲、日本及南韓等非北約盟國,紛紛加入CMMC行列,積極準備與美國國防產業網路安全認證規定對接。這些國家大多派員赴美受訓通過考試後,取得認證專業人員資格。
在此必須指出的是,除非派訓國與美國另行協商簽訂協議,否則非美籍人士是無法取得合格評估師的訓練及授證的。這也意謂著,該國取得認證合格的專業人員、講師、專師回國後,按照授權可進行第一級管制認證,並協助第二級管制認證的諮詢輔導。但是若要成立第三方認證機構、或要對受第二級管制要求之廠商從事認證,則必須結合具美籍之合格評估師,再去要求Cyber AB 檢核、授證與授權。引進CMMC的美國友盟國家之中,以南韓執行CMMC最為徹底,除了下定決心與五角大廈達成協議,並且展現超強執行力,按照自身國情體制,完全照搬對接美式體制。如此的努力,讓南韓在烏俄戰爭後,成功對北約波蘭輸出具有美國軍工技術背景的軍武,[8] 有利於進一步擴大南韓國防產業規模,讓其得以繼續朝向成為全球前四大武器出口國大步邁進。[9]
二、台灣可藉此厚植國防產業但起步仍具挑戰性
CMMC對「受控非機密資訊」的管控,最初積極推動應用在採購合約的三個美國政府機構,就是國防部、國家反情報安全中心以及網路安全暨基礎設施安全局。這也反映CMMC對供應鏈安全的著眼點,是把資安與反情報融入到從採購到製造、整合與應用端的整個過程。台灣國防廠商若能加入美國之國防產業供應鏈,將有利其擴大市場規模效益,但將持續面對的挑戰,就是資安與保防。台灣近年經過類似漢翔在台進行F-16構改升級專案後,國軍與國防產業供應鏈資安及反情報獲美國相關部門肯定,讓美國首肯在台試射美軍現役愛國者三型飛彈。[10] 最後一道門檻,在於以國防採購專案為核心的思維暨對接體制可否成形。在CMMC於2023年5月完成完整規則制定、並在2026年全面施行之前,[11] 台灣國防廠商必須加緊達到CMMC基本門檻。如能由國防部帶領台灣國防廠商推動與美方CMMC的無縫對接,或亦可能加速促使美國下定決心,進一步在台建立武器生產線。[12]
[1]Steve Trimble, “Revelation of Chinese Magnet Supplier Triggers F-35 Delivery Crisis,” Aviation Week, September 15, 2022, https://reurl.cc/jRRQR2.
[2]參閱CMMC認證機構(Accreditation Body)Cyber AB 官方網頁說明,https://cyberab.org/CMMC-Ecosystem/Ecosystem-roles/DIB-Companies-OSCs。
[3]“Controlled Unclassified Information,” U.S. DoD CUI Program, https://www.dodcui.mil/.
[4]參閱美國國防部武獲與維持次長室官方網頁對於CMMC的說明,https://www.acq.osd.mil/cmmc/about-us.html。
[5]Jim Goepel, “Are Contractors Authorized to Mark Legacy Information or Unmarked Information as CUI?” CMMC Information Institute, October 10, 2022, https://reurl.cc/oZZVVv.
[6]Jim Goepel, ibid.
[7]可參閱Cyber AB 官方網頁說明,https://cyberab.org。
[8]Soo-Hyang Choi, “Poland Buy S.Korean Rocket Launchers after Tank, Howitzer Sales,” Reuters, October 19, 2022, https://reurl.cc/Ayy6bQ.
[9]蔣巧薇,〈上任100天展雄心! 尹錫悅 : 希望韓國成為世界前4大國防出口國〉,《Newtalk》, 2022年8月17日,https://newtalk.tw/news/view/2022-08-17/803059。
[10]朱明,〈【台美軍事突破】美方首度同意愛國者三型飛彈在台試射 增程型MSE飛彈2025、2026年分批完成採購〉,《上報》,2022年11月2日,https://reurl.cc/qZZnqN。
[11]羅正漢,〈美國防部CMMC認證計畫推2.0版,建立國防供應鏈網路安全成熟度新標準〉,《iThome》,2022年3月3日,https://www.ithome.com.tw/news/149664。
[12]“U.S. Considering Joint Weapons Production with Taiwan,” Reuters, October 19, 2022, https://www.reuters.com/world/asia-pacific/us-government-considering-joint-production-weapons-with-taiwan-nikkei-2022-10-19/.