清流雙月刊 NO.32

36 清流雙月刊 美國國防部負責採購的副部長洛德 （ Ellen Lord ）表示，國防部注意到認證成 本對於中小企業可能成為沉重的負擔，所 以國防部將對小型承包商提供培訓機會， 未來再擴及中型與大型國防承包商。 美國建置 CMMC 之必要性 美國網絡風險管理公司 Sera-Brynn 在 2019 年報告提及，國防部許多承包商未使 用多重要素驗證（ Multi-factor authentica- tion ）、通過事故應變測試等控制措施， 以及僱用未經訓練的員工，或運作較差的 修補程式管理（ patch management ），來 保護國防部在網路上的機敏情報。 此外，近年美國許多機構歷經多次網 路入侵，從美國五角大廈到國土安全部， 駭客甚至進入「氣隙網路」（ air-gap net- work ）機密系統或關鍵基礎設施的工業控 制 系 統（ Industrial control system, ICS ） 等。例如： 2018 年 6 月美國海軍承包商遭 駭客入侵，致美國潛艦所使用的超音速反 艦飛彈之研發細節外洩。 2018 年 10 月， 駭客入侵外包商系統，借道進入國防部網 路，導致 3 萬名員工的差旅資料外洩等事 件。這些事件讓美國國防部意識到，不僅 美國網絡風險管理公司 Sera-Brynn 在 2019 年報告提及，國防 部許多承包商未實施控制措施來保護國防部在網路上的機敏 情報。（ Source: DEFENSE TECHNICAL INFORMATION CENTER, https://ndia.dtic.mil/2020/2020manufacturing.html ） 2018 年 6 月美國海軍承包商遭駭客入侵，導致 飛彈研發之機密細節外洩。（此照片為示意圖， 非當事潛艦） MJIB