考虑做生意的国防部

阐明回家|理解政府不时间奖|知识产权|资源方面的考虑|供应链

供应链

供应链风险管理是一个联邦收购领域,获得了更多的关注过去几年由于一种改进的理解政府系统的潜在风险。做生意与国防部或美国政府要求理解这种关注的来源,最新的政策发展,和潜在的信息,您可能被要求来验证他们的供应链的安全或协助程序保护规划的政府系统。如果操作的技术空间,特别是当它涉及到国防武器系统或重要的政府系统,你必须非常谨慎的外国资本和资本的潜在的或感知的影响。

国防科学委员会的研究报告|行政命令报告|国会采取行动|外国投资委员会|它的行政命令|网络安全|
网络安全成熟度模型认证|供应链的期望

国防科学委员会的研究报告

政府官员的主要发展获得潜在的供应链带来的风险的理解外国敌对的政府进行的一项研究在2017年《国防科学委员会“供应链网络工作小组”,他们发现美国的武器系统面临危险的恶意缺陷或恶意软件插入微电子和嵌入式软件,和这些系统的开发潜在的漏洞。

他们建议国防部采取各种措施,包括:

  • 扩大脆弱性评估
  • 提高检测和报告
  • 加强项目保护规划
  • 提高供应商审查的及时性
  • 考虑COTS组件产品和网络安全的影响
  • 建立维护程序部署系统的保护计划
  • 收集和作用于部分漏洞

行政命令报告

另一个威胁美国国防部的供应链是照亮名为总统在2018年9月的一份报告中“评估和加强制造和国防工业基地和美国的供应链弹性。”在这本书中,作者强调,中国共产党的2025年“中国制造”行动是针对关键创新技术行业在美国,如人工智能;量子计算;机器人技术;自治和新能源汽车;高性能的医疗设备;高科技船舶组件;和其他新兴产业,都是对国防至关重要。

报告指出,中国依靠合法和非法手段,包括外国直接投资和风险,开源收集、人类的收藏家,间谍,网络操作和逃避美国的出口管制限制收购知识产权和关键技术。在外国直接投资方面,中国政府分配对美国科技行业的460亿年的2016美元。这代表前一年的三倍,比2011年增长了10倍。以下数据说明中国是针对关键技术领域国家外国直接投资。

图显示中国交易部门。行业技术、工业、医疗、金融、周期性消费品等。
图显示中国技术交易

国会采取行动

为了应对这些威胁,增加潜在的美国公司可能贸易管理控制,以换取中国共产党金融投资,外国投资风险审查现代化法案》(FIRRMA) 2018国会通过并由总统签署成为法律8月13日,2018年。这种行为得到加强和现代化的功能美国外国投资委员会(CFIUS)更有效地解决国家安全方面的担忧,包括扩大总统的政府和美国外国投资委员会的审查,采取行动来解决任何国家安全方面的担忧源自于某些非控股投资和房地产交易涉及外国的人。

FIRRMA下,美国公司“生产、设计、测试、生产、制造或开发一个或多个关键技术”可以接受外国投资委员会的严格审查。有14大类技术,预计将集中在:

  • 生物技术
  • 人工智能(AI)
  • 定位、导航和定时(PNT)技术
  • 微处理器技术
  • 先进的计算技术
  • 数据分析技术
  • 量子信息和传感技术
  • 物流技术
  • 加法制造(例如,3 d印刷)
  • 机器人
  • 脑-机接口
  • 特超音速
  • 先进材料
  • 先进的监测技术

触发强制外国投资委员会申请要求在现行法规下,接收外国投资的美国企业还必须在27个高危行业被他们之一北美行业分类系统(NAICS)代码:

飞机制造
NAICS代码:336411

飞机发动机和发动机部件制造
NAICS代码:336412

氧化铝精炼和原铝生产
NAICS代码:331313

球和滚子轴承制造业
NAICS代码:332991

计算机存储设备制造
NAICS代码:334112

电子计算机制造业
NAICS代码:334111

导弹和太空交通工具制造
NAICS代码:336414

导弹和航天器推进装置和推进装置部件制造
NAICS代码:336415

军用装甲车、坦克和油箱组件制造
NAICS代码:336992

核能发电
NAICS代码:221113

光学仪器和镜头制造
NAICS代码:333314

其他基本无机化学制造
NAICS代码:325180

其他导弹和航天器部件和辅助设备制造
NAICS代码:336419

石油化工生产
NAICS代码:325110

粉末冶金零件的制造
NAICS代码:332117

能力、分布和特种变压器制造
NAICS代码:335311

一次电池制造
NAICS代码:335912

广播和电视广播和无线通信设备制造业
NAICS代码:334220

纳米技术的研究和发展
NAICS代码:541713

生物技术的研究和开发(除了纳米生物)
NAICS代码:541714

二次熔炼和铝的合金
NAICS代码:331314

搜索、探测、导航、制导、航空和航海系统和仪器制造
NAICS代码:334511

半导体及相关设备制造
NAICS代码:334413

半导体机械制造
NAICS代码:333242

蓄电池制造
NAICS代码:335911

电话设备制造业
NAICS代码:334210

涡轮,涡轮发电机组制造单位
NAICS代码:333611

看看这个美国外国投资委员会的工具可以帮助你评估潜在的外国投资委员会提交义务或遵守法律(注意:这并不构成公司的认可)。

美国海外投资委员会审议过程的人士

美国外国投资委员会(CFIUS)是一个跨部门联邦委员会由财政部长主持。额外的美国外国投资委员会的成员包括国土安全部秘书、商业、国防、政府、能源、和劳动,总检察长,国家情报总监,美国贸易代表,科学和技术政策办公室主任。

标识的外国投资委员会成员

Latham & Watkins,图片来源:

外国投资委员会成立于1988年由埃克森- 1950年的国防生产法案修正案。美国外国投资委员会的授权法令由外国投资与国家安全法》修订2007年(FINSA)。

这个法定框架授权美国总统(通过美国外国投资委员会)审查“…任何合并、收购或收购或与任何外国的人导致外国控制的任何人在美国从事州际贸易。”

美国外国投资委员会的角色是评估是否以及在多大程度上此类交易可能影响美国国家安全。如果一个事务可能对美国国家安全构成威胁,总统可能暂停或禁止交易,或对其施加条件。

外国投资委员会确定事务可能会威胁或损害国家安全事务并不意味着不允许前进。事实上,很少有交易过直接驳回通过美国外国投资委员会的过程(虽然不时政党撤回他们的交易审查和终止这些交易不成功的结果的可能性明显)。在许多情况下,外国投资委员会可以清除事务受条件旨在减轻对美国国家安全的感知风险交易,否则将构成。(来源:Latham & Watkins, LLP)美国海外投资委员会审议过程的概述)

外国投资委员会的审核流程

图片来源:Latham & Watkins, LLP)

13873年信息技术行政命令

行政命令138732019年5月15日,题为“保护信息和通信技术和服务供应链”总统指出,“外国对手越来越创建和利用漏洞在信息和通信技术和服务,商店和大量的敏感信息交流,促进数字经济,和支持关键基础设施和重要的紧急服务,以提交恶意cyber-enabled行为,包括对美国的经济和工业间谍和人民。”

应对这一威胁,禁止总统:任何收购、进口、转让、安装、经营,或使用的任何信息和通信技术或服务交易已经决心要涉及:

  • 信息和通信技术或服务的设计、开发、制造、或提供,由人所拥有的,所控制,受其管辖或外国对手的方向。
  • 带来的风险过度破坏或颠覆的设计、完整性、制造、生产、配送、安装、操作或维护的信息和通信技术或服务在美国。
  • 带来灾难性的风险过度影响美国关键基础设施的安全或弹性或美国的数字经济。
  • 否则构成不可接受的风险到美国的国家安全或安全与美国人的安全。

网络安全

2015年2月,国家情报总监证实网络威胁美国国家和经济安全在频率增加,规模,复杂性,和严重程度的影响。经济顾问委员会,一个机构在总统的行政办公室,恶意网络活动成本估计,美国经济在2016年570亿美元和1090亿美元之间,一些人估计,这一数字将高得多。网络安全是武器系统设计的一个重要方面,并在过去的几年里临界获得了更多的关注。

然而,它也意识到这是不够安全的武器系统。美国的对手已经能够漏洞在较大的国防部的供应链通过窃取知识产权和潜在损害重要的系统。这些漏洞可以在承包商设施,包括设计、开发、和生产环境,网络,供应链,和人员,可作为敌对的演员的网络途径访问政府项目组织或部署系统窃取、更改或破坏系统功能,信息,或技术。

一个2015年政府会计办公室(GAO)报告强调,并不是所有的网络攻击造成无意威胁”造成的,除此之外,有缺陷的计算机或网络设备、和粗心或缺乏训练员工”网络事件呈上升趋势,要求政府响应。

网络安全事故报告图

网络安全认证(CMMC)成熟度模型

确保更大的国防工业基地(DIB)供应链有适当级别的网络安全杆控制的非保密信息的损失(崔),国防部长收购和维护(美元的)发起CMMC倡议。目的是CMMC合并到国防联邦收购监管补充(DFARS),建立在条款已经存在(如DFARS 252.204 -7012)和最终使用它作为合同要求。迄今为止,OMB没有制定DFARS修订,所以目前没有强制CMMC需求。如果实现为设想,CMMC将包含多个成熟度级别,从“基本网络安全卫生”到“高级/进步。”

注意,CMMC认证并不表示实现供应链安全也不代表整个网络安全措施,你的公司可能希望/需要采用。

点的澄清
  • 如果你的公司只生产商用现货(COTS)产品,CMMC认证不需要。
  • CMMC只适用于非保密网络处理,过程,和/或存储(FCI)或崔联邦合同信息。
  • 如果你的公司不拥有崔但拥有FCI,它必须认证至少CMMC一级。
  • 所需的认证水平将由个人项目中捕获请求政府提交的信息或建议。
  • 认证将由第三方评估机构(C3PAOs)的赞助下CMMC。认证机构(AB)cmmcab.org。CMMC AB是建立市场CMMC DIB公司将能够选择一个批准C3PAOs和进度CMMC评估为一个特定的水平。
  • CMMC证书有效期为三年。

预期成本

待定,但预计CMMC评估成本将取决于几个因素包括CMMC级别,您公司的网络的复杂性,和其他市场力量。

CMMC具体过程和实践的水平

你的公司将会演示的制度化的过程和实现实践来证明在这一水平。来源:CMMC附录

供应链的期望

为此,当竞争和协商一个国防部合同或协议,你将越来越多地注意到有一个提高政府项目官员的关注确保你提供的产品有一个安全的供应链包括硬件和软件。你可能会注意到这以多种方式:

  • 你可能会要求获得一个网络安全成熟度模型认证为了投标某些联邦合同。
  • 你可能被要求提供任何所有权或控制你的公司详细信息可能来自国家不友好或敌对的美国。
  • 你可能被要求确认合同义务、技术或研究协议,或其他信息交换工作,与国家不友好或敌对的美国。
  • 你可能被要求识别组件供应商或原始设备制造商与总部供应商,制造,分销,或RDT&E设施在不友好的国家或敌对的美国。
  • 你可能被要求确定您所使用的企业和技术过程降低恶意插入或妥协的风险在你产品的设计、制造、供应链和分销。
  • 你可能被要求解释供应链过程采用减轻假冒部分被包含在系统交付给美国政府。
  • 你可能被要求识别系统设计原则你遵循,确保硬件或软件配置不是这样一个对手可能发起网络连接和/或数据传输到外部网络或发起一个灾难性的失败。
  • 你可能会被要求提供照明的供应链通过提供一个硬件/软件材料清单。
  • 你可能被要求解释任何重大恶意网络攻击或重要数据泄露你的公司有经验,导致损失的客户数据或知识产权和正在采取什么行动避免重蹈覆辙。
  • 你可能被要求解释公司包含弹性设计方法,包括快速隔离子系统基于异常行为的检测。
  • 你可能被要求解释系统如何设计包括主动搜索和连续自动监测检测系统故障。
  • 你可能被要求解释公司苹果在软件技术方法来确定差异,包括代码和固件为恶意代码的屏幕和硬件异常。
  • 你可能会被要求协助的发展和更新程序保护计划(ppp)为国防采办计划。购买力平价是一个源文档用来协调和集成所有的保护工作主要国防采办程序,用于管理风险从外国先进技术和关键任务系统功能集合,设计漏洞,或供应链开发/插入,战场上损失收购整个生命周期中。
分享这