【打造可信賴的供應鏈架構】美國推動CMMC認證是以國防採購為核心

美臺商會日前釋出，美方有意與臺灣聯合武器生產的消息，不管是由美方提供技術、在臺灣製造；或者是在臺灣生產零組件、在美國製造兩種方式，相關的國防武器製造，都涉及國防機密資訊的保護、國防產業供應鏈安全以及國家安全等複雜層面，要如何確保相關的安全性，臺美雙方就必須要打造一個可以信賴的供應鏈架構。

由於國防採購的第一線承包商，因為負責相關的武器研發、設計、開發與部署等重要機密，而承包商的下級分包商因為生產製造的需求，經常是分散在全球各地，但面對各個國家對於網路安全有不同的規範，規模較小的分包商也常常會因為不願意或無法支付高額的資安投資，成為駭客鎖定攻擊的目標，並造成許多機敏資料外洩。

面對「信任」的議題，不論資訊安全、供應鏈安全甚至是國家安全，都非常重要，如何做到信任，有許多法規面、制度面和程序面的作法必須落實。

其中，攸關臺灣國家防衛能力、臺美國防產業供應鏈安全等議題，國防部智庫─國防安全研究院網路安全與決策推演研究所所長唐從文認為，美國國防部於2021年11月推出的網路安全成熟度模型認證CMMC 2.0版草案，因為符合美國國防部對於供應商的資安規範NIST SP 800-171和SP 800-172，引進並符合CMMC相關的規範，是臺灣包括國防產業等，值得努力和參與的方向。

不過，CMMC包含了自我評鑑、分級、輔導、訓練、認證及採購模式等等，牽涉層面廣泛，他也說，臺灣若要推動，可以參考其他國家的施行經驗，進一步結合行政、立法、產業、學術等各單位同步進行。

國防安全研究院網路安全與決策推演研究所所長唐從文表示，若要推動網路安全成熟度模型認證CMMC，可參考其他國家經驗，結合行政、立法、產業、學術等單位進行。

國防產業供應鏈駭客攻擊不斷，小包商成鎖定對象

資安圈最常提到的木桶理論講的是說，最脆弱的環節由最短的木板決定，同樣的例證更是舉目可見。

美國國防部到國土安全部號稱是世界上最安全的單位，但駭客依舊可以鎖定標的，多次入侵相關的機敏系統或重要關鍵基礎設施的工控系統等，像是在2018年美國海軍承包商遭駭客入侵，致使美國潛艦所使用的超音速反艦飛彈之研發細節外洩；同年10月，駭客透過入侵外包商系統，借道進入國防部網路，造成有3萬名員工的資料遭到外洩。

這些受到駭客攻擊的對象，有許多都是執行國防部專案合約的第二、三線中小型分包商，當然也有少數的第一線、大型的主要承包商遭駭。整體而言，遭駭的中小型分包商業者較多，因為缺乏完善的資安防護能力，也成為駭客攻擊主要標的。這也讓美國國防部意識到，若要確保國防機敏資料的安全性，不能只重視主要承包商的安全作為，更必須關注許多分包商的資安作為，才能做到真正的機敏資料不外洩。

不過，美國供應鏈的市場發展作為是什麼呢？政治大學兼任助理教授萬幼筠表示，可以從六項外部因素來看，包括印太戰略中的地緣政治競爭；經濟犯罪防治；網路安全威脅；製造長鏈帶來的信賴挑戰；國防採購政策程序，以及打造符合美國利益中心的可信賴（Trustworthy）架構。

為什麼這麼多人重視CMMC呢？萬幼筠表示，主要是因為供應鏈安全已經是未來地緣政治、經濟發展的主要議題，而以美國為主的生產盟邦，包括準北約關係在內，則涵蓋英國、澳洲、紐西蘭、韓國和日本等國家。

也就是說，美國想要建立可相互信賴的西方國家系統，除了傳統的北約盟邦，也要結合非北約的親近盟邦勢力，共同對抗黑暗勢力。萬幼筠說：「美國要打造的供應鏈安全，包括傳統的國家安全、軍事安全，以及經濟競爭。」

經歷香港的反送中運動後，美國川普政府就下令攔截並禁用中國華為製造的5G設備和基地臺，之後美國就公布一份5G乾淨網路名單，這也是美國從確保供應鏈安全角度所實施的第一項措施。

美國作為臺灣最重要的合作夥伴，在針對供應鏈的安全議題上，如何打造可信賴架構是重要的關鍵，這個架構的重點在於：針對自由世界的國家，創造一個自由競爭但不傷害美國的內容。

所以，美國在2019年提出一項計畫，稱之為「網路安全成熟度模型認證」（Cybersecurity Maturity Model Certification，CMMC），這是第一個針對國防產業供應商所制定的網路安全標準，其目的是讓國防承包商和分包商符合相關的認證級別後，才能進入美國國防供應鏈並承包其業務。

簡單來說，美國國防部將開始要求國防部的承包商，必須具備網路安全認證，並需依據專案的機密性，取得不同等級的認證，而且，其內容不只規範一線供應商（承包商），也將涵蓋二線等供應商（分包商）。

CMMC是一個以國防採購合約管理為核心的供應鏈規範

面對外界對CMMC的各種不理解，萬幼筠表示，只有真正意識到CMMC不是單純的資安認證，而是基於美國國防採購合約管理（DFARS）開始的認證機制，才能夠真正掌握到CMMC的精髓。

也就是說，CMMC的推出是為了解決國防採購合約過程中，供應商可能面對的各種資安威脅所造成的損失，雖然也是一種資安相關的認證，但並不是一個以資安為核心的認證機制。

CMMC不只有資安，更必須符合DFARS美國國防採購的規範，像是武器採購的上游是洛克希德馬丁公司，但中、下游供應鏈業者也必須同步納管，絕對不能有中、港、澳的業者參與。

所以，法源參考依據是白宮行政命令第14017號、14028號為核心，也必須滿足美國政府-政府與CI（關鍵基礎設施）的資安策略架構NIST CSF 1.0以及NIST CSF 2.0框架；甲方（客戶端／採購端）必須符合NIST SP 800-161規範，以及乙方（供應商端）必須符合NIST SP 800－17X規範。

萬幼筠表示，NIST SP 800–171是規範第一級業者使用的標準；但若是臺灣漢翔航空公司的機件，若有機會輸出的，產線可能是第二級或第三級，就要做到NIST SP 800–172或NIST SP 800–172A的規範。其中，SP 800–171是基礎，之後還要做到更合乎採購規範安全，也會因應不同商務需求制定不同安全強度與不同安全規格。

國防部採購供應局（OUSDA&S）是CMMC的主責單位，並以國防聯邦採購補充條例（DFARS）開始進行，適用對象包括DIB和OSC等全美30萬家國防契約供應商及其全球供應鏈業者。萬幼筠表示，OSC是指想要進美國供應鏈的企業，即便和美國國防部還沒有生意往來也沒關係，但一旦加入認證體制後，就會變成DIB（美國國防供應鏈基地），而DIB是有一個清單，美國所有的國防採購都會從清單中的供應商選擇，美國初估三十萬家業者。

主要保護的標的包括：聯邦合約資訊（FCI）/受控未分類資訊（CUI）。根據國防聯邦採購補充條例（DFARS）針對「受控非機密資訊」控管，必須符合NIST SP 800-171規範；若需要符合第三級驗證，還必須符合NIST SP 800-172。

若進一步解釋聯邦合約資訊（FCI），根據美國聯邦採購條例（FAR）第4.1901節的規定，FCI是由政府合約提供或產生的資訊，包括為政府開發或交付產品的產品或服務的內容，屬於政府不公開的資訊，但不包含政府向公眾提供的資訊。

受控未分類資訊（CUI），是指政府或承包商代表政府提供或擁有的資訊，雖然不一定需要保密，但若公開將可能帶來潛在風險的情況下，因為具有機敏性，所以有保密的需求，需要做到限制公開或控制相關的資訊傳播。

特別是在國家資訊安全防護的需求之下，這些受控未分類資訊（CUI）需要受到更高層級的保護，像是NIST SP 800-171就是聚焦於CUI的安全標準。

由於CMMC是以國防採購合約和核心，對於相關國防採購合約驗證等級的認定，都必須由美國國防部國防採購合約管理局（DCMA）釋出；若要對於CUI的範圍認定，除了由國防供應鏈廠商界定自己產出資訊，其餘多由採購合約甲方（國防採購合約管理局）界定。

至於商機的部份，主要包含相關的認驗證以及課程推動，其中，認證管理機關CMMC-AB改為Cyber-AB；也打造類似臺灣驗證公司可以參與的生態系，也有獨立評鑑機關（C3PAO），可以提供年度自評；年度自評與第三方評估（驗證）；以及政府主導評估（查驗）等。

萬幼筠表示，國防部已評估符合甲方規範的NIST SP 800-171，未來可參考日本及韓國的作法，擴大臺灣參與CMMC的業者數量，他說：「供應鏈資安是未來三年，全世界最熱門的規範。」

CMMC是美國國防供應鏈安全的重要參考規範，以往美國國防部在進行機敏系統分類管理委外時，比較偏重單一供應商所提供的人員和系統安全性，但現在更著重上下游供應商（Supply Chain）提供資訊服務與生態圈。

CMMC的推出是為了解決國防採購合約過程中，供應商可能面對各種資安威脅造成的損失，雖然也是一種資安認證，但並不是以資安為核心的認證，更必須符合DFARS美國國防採購的規範。

政大兼任助理教授萬幼筠表示，CMMC不是一個單純的資安認證，只有清楚這是個基於美國國防採購合約管理（DFARS）開始的認證機制，才能夠真正掌握到精髓。

CMMC發展歷程及演進

美國在川普政府任內，於2020年1月公布CMMC 1.0版，要求所有與國防部承包商或分包商都共同遵守相關規範；到了2020第四季，在試運行CMMC 1.0版後，依等級參照CMMC特有的實作指引，針對原先的第一至五級，提供最多包含171項實作指引。

但是，到了2021年11月，美國國防部發佈CMMC 2.0版草案，目的就是要將原先五級的認證等級，進一步簡化等級為第一級～第三級，實作指引改以NIST 800-171和NIST 800-172做為參照依據。

在草案發展過程中，相關規範也持續進展，唐從文表示，網路安全成熟度模型認證2.0（CMMC 2.0）草案，從第一級為基礎防護級（Foundational），第二級為進階防護級（Advanced），第三級為專家防護級（Expert），在今年十月後，三級認證則直接以三個等級區分，並不定義基礎、進階或專家防護；在此同時，CMMC的規範內容也與NIST標準保持一致。

預計到2023年3至5月，將停止試運行計畫，直接進入立法程序，並直接實施CMMC 2.0制度；預計2026年第三至第四季，也就是2026年財年，CMMC納入國防部採購案的強制性要求。

唐從文表示， CMMC 2.0草案的價值在於，可做到保護敏感資訊，可為作戰人員提供支持和保護；透過針對DIB（國防工業基地）提供網路安全標準，可以應對不斷變化的資安威脅；確保問責制，同時最大限度地減少相關業者遵守國防部規定的障礙；可進一步延續網路安全和網路彈性的協作文化；並能通過高專業和道德標準維護公眾信任。

針對推廣CMMC 2.0以及對臺灣國防產業的觀察與建議，唐從文表示，國防工業基礎的網路安全是國防供應鏈的骨幹與樞紐；CMMC未來的發展將會對國防產業結構造成改變；必須從國防產業的角度出發，建立符合現況與國情的國防產業協調機制；規劃臺灣專有的資安防護整體供應鏈，並要適當調修法規；可以參考美軍合約管理精神，建立相對合約管理單位，減少非密資料揭露；最後，建置必要的供應鏈風險管理系統，由於CMMC 還在發展中，並不是單純滿足NIST 800-171和NIST 800-172的規範就可以取代。

臺灣製造產業多屬中小型企業，具有精、巧、強的特色，多年來在產業自我的努力下，舉凡在加工技術、零組件製造、關鍵元件開發及化工應用等方面，已經有許多成功的案例進入美國國防供應鏈體系，像是千附精密公司2017年和洛克希德馬丁公司合作，該公司總經理賴明村表示，先前已經通過第一版CMMC的認證，希望在新版的規範中，可以取得第二級認證，最終版本還沒有確定，前段過程中，從訓練課程到顧問稽核驗證等，路還很長，還需要很多單位包括政府的支持。

千附精密身為臺灣早期就投入取得CMMC認證的企業，賴明村坦言，剛開始是因為有來自客戶的壓力，但後來透過全公司管理階層全心投入，加上客戶端的稽核，以及內部軟硬體建置，人員教育訓練等，他說，管理階層的決心才是順利取得認證的關鍵。

CMMC 2.0模型架構與評估要求

CMMC 2.0版草案從原先五級簡化為三級，將相關的做法與NIST 800-171和NIST 800-172標準規範達到一致，保護的標的則以聯邦合約資訊（FCI）與受控未分類資訊（CUI）為主。從今年十月開始，也取消原先第一級至第三級界定的基礎、進階到專家的定義。

 相關報導