供应链威胁与日俱增,全球都在关注,除了多年来强调的软件企业要从安全程序代码开发做起,导入SSDLC流程,供应商本身的安全该如何受到要求与规范,同样是全球政府与产业安全关注的一大焦点。近年来,近年来美国国防部提出一项计划,称之为“网络安全成熟度模型认证”,全名是Cybersecurity Maturity Model Certification(CMMC),受到各界极大关注,这是该单位为供应商制定的首套网络安全标准。
这项计划,是在2020年1月31日正式发布1.0版,根据美国国防部(DOD)的说明,目的是要求竞标国防合约的公司,在回应提案时,需证明自己符合其网络安全成熟度。
简言之,美国国防部将开始要求国防部的承承包商,必须具备网络安全认证,并需依据项目的机密性,取得不同等级的认证,而且,其内容不只规范一线供应商(承承包商),也将涵盖二线等供应商(分承包商)。
到了2021年11月,美国国防部再提出CMMC 2.0版。基本上,这个认证的主要目的,就是要评估美国国防部承承包商的网络安全能力,而2.0版的修订,希望确保承承包商遵循最佳实务做法,以保护网络上的敏感信息,同时也使中小型企业更容易遵守这些规范。
基本上,CMMC框架是从2019年开始发展,最初可追溯到2007年,当时美国国防工业基地(DIB)的网络安全工作组成立之际,就已经开始进行,到了2015年,美国国防部发布DFARS 252.204-7012,以及美国国家标准暨技术研究院(NIST)发布SP 800-171安全标准,都与后续发展的CMMC有相当的关联。
随着网络安全风险日益严峻,国家安全与供应链安全问题开始更受重视,CMMC在2019年开始被提出。
在2020年发布CMMC 1.0版之时,时任担任美国国防部副部长、负责采购与后勤的Ellen M. Lord表示,网络安全风险威胁着国防工业与美国政府,以及其盟友和合作伙伴的国家安全,造成每年平均6,000亿美元的损失。
她指出,在当今世界强权竞争环境中,对手都知道,信息与技术是关键的基石,而且,攻击二线等供应商(分承包商),远比攻击主要供应商更具吸引力。
为此,美国将在2026财年(2026年9月30日)时,规范所有新的国防部采购案(合约)都将纳入CMMC的要求。
换言之,未来供应商要跟美国国防部做生意,将需要达到不同项目所要求的CMMC等级,才能承包其业务。
这对于要跟美国国防部做生意的台湾企业而言,同样必须重视。这是因为,若国内供应商取得高等级的认证,与军方做生意,不只自身网络安全能力必须提升,市场给予的网络安全信任度也将增加。
更进一步来看,这项CMMC认证机制,不仅可推动提升网络防护能力,未来也可能受到业界扩大采用,值得密切关注。毕竟,美军在国防工业的网络防护要求如今已形成一套无法忽视的规范,而对于全球企业而言,CMMC认证也可能成为企业安全防护所看重的新标准。
在2020年1月31日,美国推出网络安全成熟度模型认证CMMC 1.0,时任担任美国国防部副部长的Ellen M. Lord(左2)宣布这项计划,并预告将在2026财年(2026年9月30日),规范所有新的国防部合约都需具备CMMC的要求。 (图片来源/美国国防部)
CMMC的特性主要有下列三点:第一是具有“分层模型”的概念,要求国防部供应商需根据信息的类型与敏感性,逐步实施网络安全标准,同时这项计划还规定了,将信息向下传递给二线供应商的流程。
第二是“评估要求”,有了CMMC评估,将促使部门能够验证出明确的网络安全标准实施情形。
第三是“通过合约实施”,一旦CMMC完全实施,对于处理敏感未分类国防部信息的供应商而言,若要取得合约,供应商本身需具备的条件,是达到特定的CMMC等级。
如此一来,可借由创建分级制度,将安全层级明确订出,而最重要的部分则是,CMMC认证将经由美国国防部授权的第三方评估机构(C3PAOs)进行,以判定供应商是否合格。目前,美国防部也在推动第三方评估机构与咨询单位,并培训相关人员与完善评估工具
关于CMMC模型运用的主要目的,我们可以参考美国国防部副部长办公室采购与后勤处(OUSD A&S)的说明,其中提到:加强保护联邦合约信息(Federal Contract Information,FCI),以及更进一步保护受控未分类信息(Controlled unclassified information,CUI)。
简单来说,根据联邦采购条例(FAR)第4.1901节的规定,FCI是由政府合约提供或产生的信息,包括为政府开发或交付产品的产品或服务的内容,属于政府不公开的信息,但不包含政府向公众提供的信息。
在CUI方面,美国政府已推动发展10多年,简单来说,这是指由政府或承承包商代表政府所提供或拥有的信息,虽然并非需要保密,但仍然具有机密性且需要保护,特别是在国家信息安全防护的需求之下,CUI将需要更高层度的保护。而在2015年发展出的NIST SP 800-171,就是聚焦于CUI的安全标准,后续并在2020年2月发布修订版2。
对于CUI的保护,或许我们以政府不公开信息来看待,会更容易理解这个概念。因为相关敏感信息虽不到保密层级,不过,若是公开,可能会有潜在危害,所以要限制公开或控制其信息传播。P 64
在2021年11月,美国政府推出CMMC 2.0版,这项网络安全成熟度模型认证计划,有了进一步的简化与改善,除了以NIST SP 800-171为基础,并将认证等级调整为3级,创建供应链安全生态体系,特别是在国防合约信息与受控非机密敏感信息方面,让每个供应商都应具备基本安全能力,(图片来源/OUSD A&S)
在2021年11月,美国国防部发布CMMC 2.0版,与前一版内容相比,最明显的差异,就是网络安全成熟度的认证级别上的变化。
具体而言,美国国防部在原先的CMMC 1.0版中,划分出五种认证等级,由第一级到第五级由低至高排序,包括:基本网络防护(Basic)、中等网络防护(Intermediate)、良好网络防护(Good)、主动防护(Proactive),以及高端防护(Advanced)。
在2.0版将有所调整,省略原本第二级与第四级的过渡阶段,简化为三个等级:第一级为基础防护级(Foundational),第二级为高端防护级(Advanced),第三级为专家防护级(Expert)。同时,CMMC也朝向与NIST标准保持一致。
之所以发展出改进简化的CMMC 2.0版,主要是美国国防部在征求公众意见后,为了让中小企业更容易施行,因而进行改良,其中不仅简化认证标准,减少评估费用,也让合规要求所面临的障碍最小化。
这三个成熟度等级有何差异?
简单来说,以第一级,也就是基础级而言,仅适用于具有FCI的公司。信息需要保护,但对于国家安全并不重要。这里的规范着重基本的网络卫生,如今则转变为年度自我认证,不用外部评估。
以第二级、也即高端级而言,主要适用于保护CUI的公司。这里将以NIST 800-171的110个控件作为基准要求,目前已推出第二版,并规范每三年进行一次第三方评估。
若以第三级,也就是专家级而言,对于CUI的保护需要有最高优先等级。具体内容将以2021年2月发布的NIST 800-172为基准来要求,它是基于NIST 800-171而进行增强后的产物,将具有比110个控件更多的内容,并是由政府主导的3年制评估。因此,3种等级各自要求的安全控制范围不同,评估形式也有所不同。
值得关注的是,在2021年12月,美国OUSD A&S已经提供CMMC Level 1自评指引的文件,以及CMMC Level 2评估指引。
简单来说,在Level 1自评指引中,谈到6大安全控制类型的遵循,包括访问控制、识别与认证、多媒体防护、实体防护、系统与通信防护,以及系统与信息完整性,共17个控件,这部分均与合约信息有关。
在Level 2评估指引中,主要遵循14大安全控制类型,除了上述6类,还包括意识与培训、审核与问责、配置管理、事件回应、运维、个人安全、风险评估与安全评估,共110项规范。至于Level 3的评估指引,目前仍在开发中。
针对Level 1与Level 2需落实的NIST SP 800-171安全控件目,在2021年12月,美国国防部副部长办公室采购与后勤处(OUSD A&S)提供了一份可供对照的Excel表格。基本上,Level 1自评项目聚焦于6大安全控制类型,共17个控件;而Level 2需经第三方验证,除了要符合Level 1的17个控件目,还要做到另外93个控件,也就是总共14大安全控制类型,共110个控件。
美国OUSD A&S在2021年12月也已提供相关评估指引,例如,上图为CMMC Level 2评估指引中的部分内容,章节内容涵盖14大安全控制类型的110个控件。
一旦CMMC 2.0实施,承承包商和分承包商合约中所要求的CMMC级别,将在征求承包厂商意见阶段即提出。另外,美国OUSD A&S还提出强化安全的五大步骤,包括教育人们认识网络威胁,实施访问控制,验证用户,监控实体空间,以及更新安全防护。特别的是,由于大多数网络安全事件都因用户犯错而开始,为了让人们了解基本安全意识,美国国防部还创建了Project Spectrum的项目网站,可为企业组织提供网络安全信息、资源、工具与培训的内容。