美國國防部加強供應鏈安全之措施與構想
2019.01.04
瀏覽數
158
壹、新聞重點
《華爾街日報》(Wall Street Journal)於2018年12月14日報導,中國駭客竊取美國軍事關鍵科技的手法愈來愈細緻,造成的危害也愈來愈大。在過去一年半以來,已經有不少國防承包商(contractor)以及轉包商(subcontractor)被入侵,並且被竊走重要資料,加強供應鏈安全(supply chain security)因而成為美國國防部的重點工作。[1]
美國總統川普(Donald Trump)於12月23日宣布,在2019年1月1日撤換國防部長馬提斯(Jim Mattis),由副部長夏納翰(Patrick Shanahan)代理。夏納翰過去長期在波音(Boeing)公司服務,對供應鏈安全有獨到的見解。雖然夏納翰會代理多久仍是未定之數,但美國國防部加強供應鏈安全之措施、以及夏納翰對於供應鏈安全的構想,仍然值得吾人關注。
貳、安全意涵
一、中國以竊取軍事關鍵科技方式縮小與美國軍力落差
在軍事力量上,中國與美國最大的差距在於水下作戰能力。美國海軍分析師克拉克(Bryan Clark)指出,在與中國發生軍事衝突時,由於中國不具有多少反潛能力,美國將能以潛艦取得優勢。[2] 中國亦深知己方弱點,因此極力想要增強水下作戰能力。然而,水下作戰的武器系統仰賴先進科技,當中國自己無法開發出這些關鍵技術,就用偷竊的方式獲取。
《華盛頓郵報》在2018年6月8日報導,中國駭客於該年1月及2月入侵一家為海軍水下戰爭中心(Naval Undersea Warfare Center)進行研發的承包商,竊取了614GB的資料,包括由潛艦發射的超音速反艦飛彈、感測器及訊號資料、潛艦無線電室密碼系統、以及海軍潛艦發展單位的電子戰資料庫。[3] 這個事件對美軍來說非常嚴重,如果這些先進科技為中國所用,將會削弱美軍在水下作戰的優勢,一旦未來與中國發生戰爭,整個局勢將可能改觀。
二、國防承包商與轉包商成為網路安全漏洞
軍事設備以及武器系統並不是由得標廠商獨力製造,各項零組件是由眾多廠商層層轉包,美國著名武器製造商洛克希德馬丁(Lockheed Martin)便宣稱與大約一萬六千家供應商合作。這種層層轉包的方式造成網路安全極大的漏洞,其原因有二。首先,個別承包商與轉包商只負責一部分的零組件或計畫,這個部分可能不被當作是機密資料,未受到管制或是特別防護,因而容易遭到竊取。前述《華盛頓郵報》所報導的事件中,被偷竊的資料即不屬於機密。然而,若是中國駭客以化整為零的方式竊取數個承包商與轉包商的資料,再加以拼湊,就能獲得高度機敏資料。
其次,轉包商的規模有大有小,在供應鏈下游的轉包商通常都是小型企業,比較不注意網路安全,也比較沒有財力建立完善的資訊安全系統。因此,這些小型廠商很容易被中國駭客鎖定並入侵,成為軍事關鍵科技被竊取的管道。另外,除了國防承包商與轉包商,任何研發先進科技的大學實驗室與新創公司都可能成為網路安全的漏洞。
參、趨勢研判
一、美國國防供應鏈安全將全面提升
為了因應中國駭客以入侵國防承包商的方式竊取軍事關鍵科技,美國國防部開始檢討供應鏈安全。由於過去美國政府對於究竟有哪些廠商承包或轉包國防業務並不清楚,美國國防部在2018年10月成立「保護關鍵科技專案小組」(Protecting Critical Technology Task Force),由時任副部長的夏納翰負責。此專案小組成立的目的,在於整理國防供應鏈中的所有廠商清單、清查哪一家廠商製造哪一項裝備的哪一個零組件,以掌握供應鏈的所有環節。[4] 夏納翰曾宣示要終結中國駭客對美國國家安全的威脅,可以預見當其升任代理部長後,此專案小組的角色將會更為強化,供應鏈安全也會全面提升。
二、上游國防承包商將擔負更多網路安全責任
夏納翰在擔任副部長時曾經指出,民間廠商要與國防部合作,除了品質、成本、製造時程(schedule)以外,安全是第四個考量因素。他首先強調,具備良好的網路安全是成為國防承包商的基本條件。其次,在過去層層轉包的機制下,上游廠商往往不知道最後是轉包給哪一家下游廠商,若最下游廠商發生資安事件,最上游廠商可能無法掌握。夏納翰認為這種情況會危害供應鏈安全,必須加以改變。
夏納翰的構想是,國防供應鏈的網路安全責任要由上游的廠商負起,第一層和第二層的承包商要領導其下的所有轉包商、並且負責管理整個供應鏈。因此,上游承包商的經營者必須調整心態,不能只顧自己,而是要在供應鏈安全上扮演更積極的角色。[5] 可以預期,在夏納翰升任代理部長之後,將會落實這些理念,要求上游國防承包商負起更多的網路安全責任。
[1]Gordon Lubold and Dustin Volz, “Chinese Hackers Breach U.S. Navy Contractors,” Wall Street Journal, December 14, 2018, https://www.wsj.com/articles/u-s-navy-is-struggling-to-fend-off-chinese-hackers-officials-say-11544783401
[2]Ellen Nakashima and Paul Sonne, “China hacked a Navy contractor and secured a trove of highly sensitive data on submarine warfare,” Washington Post, June 8, 2018, https://www.washingtonpost.com/world/national-security/china-hacked-a-navy-contractor-and-secured-a-trove-of-highly-sensitive-data-on-submarine-warfare/2018/06/08/6cc396fa-68e6-11e8-bea7-c8eb28bc52b1_story.html?utm_term=.44d34092d34f
[3]同註2。
[4]Justin Lynch, “Pentagon moves to secure supply chain from foreign hackers,” Fifth Domain, October 21, 2018, https://www.fifthdomain.com/dod/2018/10/21/pentagon-moves-to-secure-supply-chain-from-foreign-hackers/; Justin Lynch, “A new DoD task force addresses the growing threats to critical technology,” Fifth Domain, November 2, 2018, https://www.fifthdomain.com/dod/2018/11/02/a-new-dod-task-force-addresses-the-growing-threats-to-critical-technology/
[5]Mike Gruss, “Pentagon’s No. 2: Dismissing cyber risks is like ignoring smoking dangers,” C4ISRNET, February 6, 2018, https://www.c4isrnet.com/show-reporter/afcea-west/2018/02/06/pentagons-no-2-dismissing-cyber-risks-is-like-ignoring-smoking-dangers/; Justin Lynch, “How the new acting Pentagon chief views cybersecurity,” Fifth Domain, December 25, 2018, https://www.fifthdomain.com/dod/2018/12/24/how-the-new-acting-pentagon-chief-views-cybersecurity/