美国国防部去年11月正式启用了网络安全成熟度模型认证,也就是俗称的CMMC,目的是要保护被称为“受控非密信息”的敏感数据。企业现在得先做网络安全自我评估,这是CMMC三级认证里的第一关;到了今年11月,那种带着审计环节、要求更高的第二级认证才会开始实施。然而,业内人士透露,这种漫长的审计排队等待时间,再加上搞不清到底哪些信息该保护、哪些不该保护,让很多公司达标变得难上加难。因为这事比较敏感,大家都不愿意透露自己的身份。大家普遍认为,因为缺少明确的标准定义,即使有些小企业根本不涉及战斗机燃油泵这类图纸这么敏感的东西,主承包商还是会把它们当成违规处理。所以成本问题成了一大心病。有消息说,每家小企业光是为了满足CMMC的要求,就得额外掏个几十万甚至上百万美元的合规费,这对于本来财务就很脆弱的小企业来说实在是个沉重的负担。 美国航空航天工业协会的国家安全政策副总裁玛格丽特・博特纳指出:“有些公司特别是那些还要去外面抢商业生意的企业反映说,那些复杂又昂贵的条条框框正在逼着他们重新考虑要不要继续做军工生意了,甚至直接退出这个市场。这对整个国防工业基础的健康和韧性都是一种削弱。”美国众议院小企业委员会的2022年数据显示,在航空航天领域里面大概有88%的企业都是小型企业。三家航空航天公司——两家是美国的、一家是加拿大的——也给路透社发了话,说他们手下都有不少供应商不愿意遵守这些更严的规矩,比如坚决拒绝接受审计。 其中一家美国公司的老总说:“现在只有不到一半的供应商表了态说会怎么做。”还有一家专门给美军战斗机项目供货的企业负责人也说,他根本不知道他的那些供应商最终会作何选择。美国国防部这边拒绝发表评论。经历了多年生产瓶颈之后,小型供应商的情况现在受到了投资者的密切关注。毕竟很多小企业都是大型承包商把武器装备给拼凑出来的关键零件的唯一来源。麦卡特 & 英格利希律师事务所的律师亚历克斯・梅杰专门帮国防承包商弄CMMC这块合规的事儿,他说这些认证要求可能在无意中就把国防供应链底层的竞争给削弱了。 2019年的时候就推出过CMMC这个东西了,因为行业里意见不统一、大家都糊涂得很,所以一直拖了好几年才落地。梅杰解释说:“对于那些还要同时遵守欧洲数据隐私法和其他地区网络安全标准的国际供应商来说,挑战更是特别严峻。你让他们按美国政府规定的那种方式去存储或标记那些受控信息,(其他)数据隐私法可能完全是另一套规矩。”有位加拿大公司的高管就抱怨说:“为了同时符合欧美两边的规定,我已经花掉了50万加元(大概相当于36.5万美元)。”美国非营利航空航天供应商Pathfinder Manufacturing的首席执行官戴夫・特雷德也说道:“因为我们本来承接的国防线束业务就不多,而且波音那边的商业订单量又特别大,所以我自己也在犹豫这时候再去背那笔合规的成本到底值不值。” 在特朗普政府施压承包商要提高产量、实现供应链多元化的大背景下,本来就已经存在的生产风险被这些新规定给加剧了。特别是在这个要求所有接联邦合同的企业都要完成自我评估的节骨眼上。