美方指控中共通过下游转包商窃取洛马的F-35技术,从而建造自己的J-31。图为J-31于珠海进行训练。
“Breaking Defence”12日报导,为防止中共网络间谍窃取F-35数据,并用于建造如J-31这类的先进战机,五角大厦主管武获与维持(A&S)的副部长办公室(OUSD),正推动“网络安全成熟模式认证”(Cybersecurity Maturity Model Certification, CMMC)。未来,国防承包商与转包商须取得认证,才得以投标五角大厦标案,以维持国防部供应链的安全,并避免美军知识产权与敏感信息因网络间谍而受侵害。
CMMC共分5级,主管CMMC的伯斯特切尼克(Stacy Bostjanick)解释,随着五角大厦CMMC计划的推展,该标准将适用供应链上的每一间企业,而这反映出美方对承包商遵守安全规范的信赖不足。厂商对安全准则的轻忽,为国内大量窃取F-35数据广开方便之门,进而助中共建造诸如J-31等先进战机。
换言之,一旦碰触武器设计等信息,五角大楼必须确保网络安全处于最佳状态。他强调,很多厂商不明白军方要求为何,只想着遵守就能拿下标案。因此,中共生产的J-31看来跟美国的F-35很类似。
伯斯特切尼克解释,验证要求不仅是CMMC不可缺少的一环,也有其必要性。即使透过事前认辅(prior voluntary guidance),承包商不当处理数据仍让五角大厦损失大量重要情报。透过长期运作的间谍计划,中共取得美国计划并建造J-31匿踪战机。这类的间谍行动开始于2007年,并透过洛克希德马丁的转包商进行。
尽管CMMC无法保证完全防范国家行为者再次采取类似罪行;但透过法律与规范的拟定,CMMC将机密信息的流通限制在能保证安全的公司。由于国家行为者持续发动产业间谍活动并窃取知识产权,CMMC让每个节点难以突破从而展现极大的价值。
他也提到,CNNC共分5级,如果计划管理者与主承包商确遵级别的规范,小型转包商就不会收到其无法保障安全的非机密资料。实务上常发现,承包商将整个数据透过LINE传递给转包商,这让后者取得原本他不需要的数据,这时就需要CMMC。
不过,专为军方供应商用现货的承包商,只要不接触受管制信息,就无须取得CMMC的认证。“CMMC的目的就像确认你的邻居没有在偷用你的网飞(Netflix)”,“它容易且让网路维持基本安全,我建议所有人(指有意投标的厂商)都申请;但如果你是商用现货厂商,则无需申请”。
至于其他想要与军方签署合约的承包商,取得网络安全认证已不仅是选项,而成为构成要件。这让企业间谍通过计算机系统夺取知识产权与敏感信息的难度提高。
CMMC的发想来自大流行期间的公共卫生防治,透过全面而更好的实务作法,减低网络间谍的危害。为确保安全,即使在小的事项也要遵守一致标准。随着CMMC推行,自2026财年起,整条供应链上的承包商与转包商都要符合规范。
