美方指控中共通過下游轉包商竊取洛馬的F-35技術,從而建造自己的J-31。圖為J-31於珠海進行訓練。
「Breaking Defence」12日報導,為防止中共網絡間諜竊取F-35數據,並用於建造如J-31這類的先進戰機,五角大廈主管武獲與維持(A&S)的副部長辦公室(OUSD),正推動「網絡安全成熟模式認證」(Cybersecurity Maturity Model Certification, CMMC)。未來,國防承包商與轉包商須取得認證,才得以投標五角大廈標案,以維持國防部供應鏈的安全,並避免美軍智慧財產權與敏感信息因網絡間諜而受侵害。
CMMC共分5級,主管CMMC的伯斯特切尼克(Stacy Bostjanick)解釋,隨著五角大廈CMMC計劃的推展,該標準將適用供應鏈上的每一間企業,而這反映出美方對承包商遵守安全規範的信賴不足。廠商對安全準則的輕忽,為國內大量竊取F-35數據廣開方便之門,進而助中共建造諸如J-31等先進戰機。
換言之,一旦碰觸武器設計等信息,五角大樓必須確保網絡安全處於最佳狀態。他強調,很多廠商不明白軍方要求為何,只想著遵守就能拿下標案。因此,中共生產的J-31看來跟美國的F-35很類似。
伯斯特切尼克解釋,驗證要求不僅是CMMC不可缺少的一環,也有其必要性。即使透過事前認輔(prior voluntary guidance),承包商不當處理數據仍讓五角大廈損失大量重要情報。透過長期運作的間諜計劃,中共取得美國計劃並建造J-31匿蹤戰機。這類的間諜行動開始於2007年,並透過洛克希德馬丁的轉包商進行。
儘管CMMC無法保證完全防範國家行為者再次採取類似罪行;但透過法律與規範的擬定,CMMC將機密信息的流通限制在能保證安全的公司。由於國家行為者持續發動產業間諜活動並竊取智慧財產權,CMMC讓每個節點難以突破從而展現極大的價值。
他也提到,CNNC共分5級,如果計劃管理者與主承包商確遵級別的規範,小型轉包商就不會收到其無法保障安全的非機密資料。實務上常發現,承包商將整個數據透過LINE傳遞給轉包商,這讓後者取得原本他不需要的數據,這時就需要CMMC。
不過,專為軍方供應商用現貨的承包商,只要不接觸受管制信息,就無須取得CMMC的認證。「CMMC的目的就像確認你的鄰居沒有在偷用你的網飛(Netflix)」,「它容易且讓網路維持基本安全,我建議所有人(指有意投標的廠商)都申請;但如果你是商用現貨廠商,則無需申請」。
至於其他想要與軍方簽署合約的承包商,取得網絡安全認證已不僅是選項,而成為構成要件。這讓企業間諜通過計算機系統奪取智慧財產權與敏感信息的難度提高。
CMMC的發想來自大流行期間的公共衛生防治,透過全面而更好的實務作法,減低網絡間諜的危害。為確保全全,即使在小的事項也要遵守一致標準。隨著CMMC推行,自2026財年起,整條供應鏈上的承包商與轉包商都要符合規範。
