由美國防部合約管理看CMMC推動與落實
2022.12.16
瀏覽數
1653
壹、新聞重點
美國資安服務商CyberSheath日前針對構成美國國防工業基地(Defense Industrial Base, DIB)中的300家國防合約商進行問卷調查,以了解這些合約商在美國《國防聯邦採購規則補充》(Defense Federal Acquisition Requirement Supplement, DFARS)要求下的資安落實現況,並於11月發表調查報告(Defenseless: A Statistical Report on the State of Cybersecurity Maturity Across the Defense Industrial Base)。調查結果顯示,在2022年7至9月的問卷調查期間,大多數國防廠商均回覆無法達成DFARS的基本要求。這項結果不僅凸顯國防供應鏈安全亟待改善,也對於既有機制在合約管理的不足處提出反思,由此思考未來如何依此持續推動網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)、提升整體資安,以下分析其意涵與落實方向。[1]
貳、安全意涵
一、僅以產業自評模式進行資安合規評估並不可行
這些屬於國防工業基地一員的合約商,由於承包美國防部的各項計畫,可能在自有資訊系統存取、持有或傳輸各式來自聯邦政府的相關資料,因而成為國家級駭客竊取智慧財產權資訊,或進行供應鏈攻擊的目標。[2] 為保護這些在非聯邦資訊系統和機構中的受控非列密資訊(Controlled Unclassified Information, CUI),美國家標準暨技術研究院推出NIST SP 800-171的安全指南,詳列具體落實資安的110項控制措施。但自美國防部2017年起正式施行DFARS第252.204-7012條、要求國防工業基地須符合NIST SP 800-171規範以來,其具體落實狀況不明,甚至由美國政府課責審計署(U.S. Government Accountability Organization, GAO)和國防部督察長辦公室(DoD Office of Inspector General)分別進行的調查報告亦指出,美國防部與相關組織對受控非列密資訊的保護現況並不理想,必須盡速改善。[3]
尤其在本次業界自主調查結果中,雖然有七成的調查對象聲稱已藉由自我評估(self-assessment)達成NIST SP 800-171合規,不過在美國防部設立的「供應商風險績效系統」(Supplier Risk Performance System, SPRS)內、由合約商針對NIST SP 800-171合規性登錄的自評分數,只有13%的調查對象表示其SPRS高於70分(最高分為110、最低分為-230)。SPRS自評分數普遍低分的情況,不僅與一般對國防工業基地資安現況的認知相符,也凸顯僅靠廠商自評無助提升整體資安表現,必須有更完善的第三方認證機制,此即CMMC最初規劃時的主要背景以及設立原由。[4]
二、供應鏈資安落實有賴合約管理進行監督
CMMC作為NIST SP 800-171資安規範的認證機制,政策由美國防部資訊長辦公室(DoD Chief of Information Office)進行規劃,目前已推行至第二版CMMC 2.0,但執行面實務則有賴國防合約管理局(Defense Contract Management Agency, DCMA)。美國防部為聯邦政府最大的締約方,每年所簽訂的勞務及財物採購合約,總數約占聯邦政府的三分之二,且金額逐年成長,2020財年已高達4,220億美金。因此美國防部負責合約管理的專責單位——國防合約管理局的任務相當關鍵,以確保合約交付的產品能提升戰力,具體任務則包括簽約前的合約分析及風險評估、議約談判到簽約後的履約計畫及稽核等。[5]
國防合約管理局之日常工作已高度數位化,例如前述之SPRS,即為收集、分析並呈現供應商績效的全軍通用資訊系統,國防合約管理局即運用此系統內的供應商登錄資訊,來執行定期製作供應商監督報告(supplier surveillance report)等合約管理工作。而國防合約管理局下,還設有國防工業基地網路安全評估中心(Defense Industrial Base Cybersecurity Assessment Center, DIBCAC),統籌美國防部針對合約商的資安風險緩解(cybersecurity risk mitigation)作為。廠商在SPRS中登錄其系統安全計畫(system security plan)及自評分數,但此分數將標注為「低度」可信,必須由中心進行複評,其分數才能提升至「中度」或「高度」可信。
不過,網路安全評估中心主任Nick DelRosso曾在CMMC認證機構(accreditation body)-Cyber AB 的9月例會中透露,自2021年7月至2022年3月,有156項SPRS自評分數紀錄經複評後,遭調降超過100分,甚至有一例是從最高分110被調降至最低分-230。自評與複評的分數落差,顯示雙方資安認知的差異,促使國防合約管理局就現行SPRS自評模式做進一步研究,並由網路安全評估中心針對所有合約商資安合規能力進行評估,預計將在2023年第一季完成評估報告,以對後續CMMC 2.0推動可能面臨的窒礙預做準備。 [6]
參、趨勢研判
一、美國防部對CMMC立場堅定,視資安為未來合約承攬必要條件
作為未來美國防部合約承攬條件之一、CMMC 2.0最終規定將於2023年3月公布,且預計要2025年才會全面納入新合約要求,這使諸多廠商對CMMC 2.0抱持觀望的態度。但在盡早落實資安要求、取得CMMC 2.0認證上,國防合約管理局與負責CMMC政策規劃的國防部資訊長辦公室態度一致。即使後續執行細節可能有所修改,美國防部對推動CMMC 2.0的立場相當堅定,認為DFARS與NIST SP 800-171自2019年推出至今已有三年的時間,CMMC 2.0既然是基於現行規範,廠商即無任何理由繼續迴避這些資安要求,故應不會就此做出讓步。[7]
而從國防合約管理局的角度來看,依照CMMC 2.0,廠商若在經評鑑後無法取得所需的CMMC等級,雖然仍可能取得合約,但須要求廠商提出行動期程管制計畫(Plan of Actions and Milestones, POA&Ms)限期改善,並由主合約商再向下逐層要求次合約商達成合規,此舉反而增加整體後續合約管理的複雜度。對此,國防合約管理局局長巴賽特中將(Lt. Gen. David G. Bassett)已在11月底對美國航太業界的公開場合上,表達國防合約管理局對廠商應盡快落實DFARS及NIST SP 800-171資安規範、為取得CMMC 2.0認證作準備的基本立場。他說,「等待(CMMC 2.0)最終規定出爐後,再來落實資安要求,就像體能鑑測規定發布以後才開始健身;而只要從今天開始跑步、做伏地挺身,等體測規定發布時,就會發現你已藉由自己的努力,離通過體測更進一步。」這段發言也透露國防合約管理局認為取得CMMC認證有賴平時落實資安,而非考試前才臨時抱佛腳。 [8]
二、應持續關注美國防部受控非列密資訊之相關政策發展
既然CMMC重點為受控非列密資訊保護,掌握美國防部受控非列密資訊政策的調整與精進方向,也是CMMC未來成功推動的重要環節。自歐巴馬總統任內簽署《行政命令13556號》(Executive Order 13556: Controlled Unclassified Information)設立受控非列密資訊機制、統整聯邦政府單位資料防護與管控作為後,美國防部逐步以「受控非列密資訊」(CUI)標記、取代既有的「僅供公務使用」(For Official Used Only, FOUO)。不過,目前資料標記情況在美國防部內並不一致,參議院軍事委員會成員對此有疑慮,認為現行指南過於空泛,故參議院版本的《2023財年國防授權法》(Fiscal Year 2023 National Defense Authorization Act)中,要求美國防部增加對受控非列密資訊監管並精進相關訓練。[9] 雖然美國防部發言人懷德准將(Brig. Gen. Pat Ryder)在例行記者會上對記者提問並無正面回應,但相關條文已保留在經參眾兩院通過的國防授權法版本中,即將送交拜登總統簽署。[10] 這些有關美國防部受控非列密資訊的後續推進事項,均會與CMMC 2.0最終規定的正式定案過程同時進行,應持續關注後續發展。
[1]Sara Friedman, “Defense Industry Survey Finds Lack of Compliance with Current Pentagon Cyber Standard,” Inside Cybersecurity, December 7, 2022, https://insidecybersecurity.com/daily-news/defense-industry-survey-finds-lack-compliance-current-pentagon-cyber-standard.
[2]Christopher Nissen, John Gronager, Robert Metzer & Harvey Rishikof, “Deliver Uncompromised: A Strategy for Supply Chain Security and Resilience in Response to the Changing Character of War,” MITRE, August 13, 2018, https://www.mitre.org/news-insights/publication/deliver-uncompromised-strategy-supply-chain-security-and-resilience.
[3]雖然美國防部相關單位依法並不須符合NIST SP 800-171的110項控制項目,但根據課責審計署的報告,美國防部相關單位的達成率只有78%,報導見 Billy Michell, “DOD Not Meeting Same Standards It Plans to Hold Contractors to under CMMC,” FedScoop, May 23, 2022, https://www.fedscoop.com/dod-not-meeting-same-standards-its-holding-contractors-to-under-cmmc/.
[4]Mikayla Easley, “BREAKING: Report Sends ‘Wake-Up Call’ for Health of Defense Industrial Base,” National Defense, February 2, 2022, https://www.nationaldefensemagazine.org/articles/2022/2/2/report-acts-as-wake-up-call-for-declining-health-of-us-defense-industrial-base.
[5]“DoD Increases DCMA Cybersecurity Responsibilities: DCMA to Implement and Assess Company-Wide Cyber Compliance,” Government Contract Legal Forum, February 21, 2019, https://www.governmentcontractslegalforum.com/2019/02/articles/cybersecurity/dod-increases-dcma-cybersecurity-responsibilities-dcma-implement-assess-company-wide-cyber-compliance/; “DOD Fraud Risk Management: Actions Needed to Enhance Department-Wide Approach, Focusing on Procurement Fraud Risks,” U.S. Government Accountability Office, September 20, 2021, https://www.gao.gov/products/gao-21-309.
[6]Nick DelRosso, “DIBCAC – The Cyber AB Town Hall,” Cyber AB, September 27, 2022, https://cyberab.org/News-Events/Town-halls/Details/september-2022-town-hall.
[7]Orlee Berlove, “Countdown to Compliance: Q&A with Stacy Bostjanick and Dave McKeown,” Security Boulevard, July 14, 2022, https://securityboulevard.com/2022/07/countdown-to-compliance-qa-with-stacy-bostjanick-and-dave-mckeown/.
[8]LTG Dave Bassett, “Thanks to the Aerospace Industry Association for Hosting an In Person Meeting Yesterday Enabling a Great Dialog around DIBCAC Inspections and the Upcoming CMMC Requirements,” LinkedIn, December 7, 2022, https://www.linkedin.com/posts/davidgbassett_thanks-to-the-aerospace-industry-association-activity-7004444658911105024-QlvM.
[9]Heather Mongilio, “Senate Questions How Pentagon Uses ‘Controlled Unclassified Information’ Label,” USNI News, August 8, 2022, https://news.usni.org/2022/08/08/senate-questions-how-pentagon-uses-controlled-unclassified-information-label.
[10]Alexander Bolton and Ellen Mitchell, “Senate Sends $858 Billion Defense Bill to Biden’s Desk,” The Hill, December 15, 2022, https://thehill.com/policy/defense/3777271-senate-sends-858-billion-defense-bill-to-bidens-desk/; “Pentagon Press Secretary Air Force Brig. Gen Pat Ryder Holds an On-Camera Press Briefing,” U.S. Department of Defense, December 13, 2022, https://www.defense.gov/News/Transcripts/Transcript/Article/3245474/pentagon-press-secretary-air-force-brig-gen-pat-ryder-holds-an-on-camera-press/.