防陸重演竊F-35數據造J-31 美軍推網路安全認證

美方指控大陸透過下游轉包商竊取洛馬的F-35技術，從而建造自己的J-31。圖爲J-31於珠海進行訓練。(圖/中新社)

「Breaking Defence」12日報導，爲防止中國大陸網路間諜竊取F-35數據，並用於建造如J-31這類的先進戰機，五角大廈主管武獲與維持(A&S)的副部長辦公室(OUSD)，正推動「網路安全成熟模式認證」(Cybersecurity Maturity Model Certification, CMMC)。未來，國防承包商與轉包商須取得認證，才得以投標五角大廈標案，以維持國防部供應鏈的安全，並避免美軍智慧財產權與敏感資訊因網路間諜而受侵害。

CMMC共分5級，主管CMMC的伯斯特賈尼克(Stacy Bostjanick)解釋，隨着五角大廈CMMC計劃的推展，該標準將適用供應鏈上的每一間企業，而這反映出美方對承包商遵守安全規範的信賴不足。廠商對安全準則的輕忽，爲大陸大量竊取F-35數據廣開方便之門，進而助中共建造諸如J-31等先進戰機。

換言之，一旦碰觸武器設計等資訊，五角大廈必須確保網路安全處於最佳狀態。他強調，「很多廠商不明白軍方要求爲何，只想着遵守就能拿下標案。因此，中國大陸生產的J-31看來跟美國的F-35很類似」。

伯斯特賈尼克解釋，驗證要求不僅是CMMC不可缺少的一環，也有其必要性。即使透過事前認輔(prior voluntary guidance)，承包商不當處理數據仍讓五角大廈損失大量重要情報。透過長期運作的間諜計劃，大陸取得美國計劃並建造J-31匿蹤戰機。這類的間諜行動開始於2007年，並透過洛克希德馬丁的轉包商進行。

儘管CMMC無法保證完全防範國家行爲者再次採取類似罪行；但透過法律與規範的擬定，CMMC將機密資訊的流通限制在能保證安全的公司。由於國家行爲者持續發動產業間諜活動並竊取智慧財產權，CMMC讓每個節點難以突破從而展現極大的價值。

他也提到，CNNC共分5級，如果計劃管理者與主承包商確遵級別的規範，小型轉包商就不會收到其無法保障安全的非機密資料。實務上常發現，承包商將整個數據透過LINE傳遞給轉包商，這讓後者取得原本他不需要的資料，這時就需要CMMC。

不過，專爲軍方供應商用現貨的承包商，只要不接觸受管制資訊，就無須取得CMMC的認證。「CMMC的目的就像確認你的鄰居沒有在偷用你的網飛(Netflix)」，「它容易且讓網路維持基本安全，我建議所有人(指有意投標的廠商)都申請；但如果你是商用現貨廠商，則無需申請」。

至於其他想要與軍方簽署合約的承包商，取得網路安全認證已不僅是選項，而成爲構成要件。這讓企業間諜透過電腦系統奪取智慧財產權與敏感資訊的難度提高。

CMMC的發想來自大流行期間的公共衛生防治，透過全面而更好的實務作法，減低網路間諜的危害。爲確保安全，即使在小的事項也要遵守一致標準。隨着CMMC推行，自2026財年起，整條供應鏈上的承包商與轉包商都要符合規範。