FIND研究員:李啟榮
美國國防部有鑑於駭客活動與威脅與日俱增,加上新興的「供應鏈攻擊」型態,因此制定了「網路安全成熟度模型認證(Cybersecurity Maturity Model Certification, CMMC)」制度,藉由導入民間IT產業的力量,打入國防產業鏈,同時鞏固國防系統的資安,維持美軍資安技術的先進性、創新性等優勢。
趨勢發展背景
2020年1月,美國國防部「副部長辦公室採購暨後勤處(Office of the Under Secretary of Defense for Acquisition and Sustainment, OUSD(A&S))」,針對國防採購合約中的「受管制、為分類之資訊(Controlled Unclassified Information, CUI)」的安全議題,參酌美國國家標準技術研究所(NIST)的SP800-171、SP800-172標準,建立了分為五級的CMMC 1.0版。
2021年,美國國防部因應國防承包商反映的意見,承包商表示CMMC v1.0的五級框架太複雜、難以滿足國防部的安全規格需求,因此美國國防部再次著手修訂CMMC,並在同年11月發布CMMC 2.0版,從五級簡化為三級,並預計2023年上路實施 (Gray, Martin, & VanEvery, 2022)、2026年成為國防採購案的強制需求 (Lopez, 2020)。
圖 1 CMMC v1.0五級指標與CMMC v2.0三級指標之對應
資料來源: (U.S. DoD, 2021)
產業趨勢說明
依據美國國防產業協會(NDIA)的雜誌《National Defense》在2021年的報導 (Harper, 2020),2020年國防承包商的投入資金高達4,470億美金。另外,根據國防安全研究院指出,美國結合英國、加拿大、澳洲、紐西蘭、日本、南韓等盟邦共同參與CMMC,尤其南韓完全移植美軍CMMC的規格,除了推動南韓國防產業逐步達到美軍採購水準外,甚至還以俄烏戰爭為契機,成功將軍火打入波蘭市場,帶動國防和資安發展的相輔相成。
未來展望/挑戰
有鑑於台灣面臨中國網路攻擊的威脅與日俱增,可謂道高一尺、魔高一丈,現在國內已有鼓勵台灣國防產業加入CMMC認證的呼聲,藉由打進美軍採購生態系,來提升台灣國防產業資安技術能量。
另外,我國因應戰前準備,需要生產大量的彈藥,軍工產業也是駭客攻擊的重點目標;藉由讓國內軍工產業滿足CMMC的需求,可有望進一步深化與美軍、美國國防承包商的合作,在未來可預見的戰爭中,得以立於不敗之地。
封面圖片獲123RF圖庫授權使用
參考資料:
1. Gray, C., Martin, J., & VanEvery, C. (2022). What defense contractors need to know about compliance with CMMC 2.0? Retrieved from PwC: https://www.pwc.com/us/en/services/consulting/cybersecurity-risk-regulatory/assets/what-defense-contractors-need-to-know.pdf
2. Harper, J. (2020, July 29). 2020 Was Good Year for Contractors. Retrieved from National Defense: https://www.nationaldefensemagazine.org/articles/2021/7/29/2020-was-good-year-for-contractors
3. Lopez, C. T. (2020, January 31). S. DoD. Retrieved from DOD to Require Cybersecurity Certification in Some Contract Bids: https://www.defense.gov/News/News-Stories/Article/Article/2071434/dod-to-require-cybersecurity-certification-in-some-contract-bids/
4. S. DoD. (2021, November). About CMMC. Retrieved from Department of Defense Chief Information Officer: https://dodcio.defense.gov/CMMC/about/
5. 曾宜碩. (2022年11月11日). 台灣推動國防產業CMMC刻不容緩. 擷取自 國防安全研究院: https://indsr.org.tw/focus?uid=11&pid=523&typeid=21
沒有留言:
張貼留言