2020年5月18日 星期一

.美國實施 NDAA 之後,對公共工程及採購案的影響

President Trump Signs the National Defense Authorization Act



台灣有沒有類似本文所描述的美國 NDAA 國防授權法?經 3S MARKET 搜尋整理,將列於本文的最後,提供做為參考⋯⋯



隨著美國聯邦機構對海康威視、大華產品的禁令生效,美國安全監控行業正尋求釐清這些條款,以免觸法受罰⋯⋯

禁止在聯邦政府的機構中,購買和安裝海康威視、大華和海能達通信的影像監控設備的禁令,於 2019 年 8 月 13 日生效。

這項禁止購買和安裝海康威視、大華和海能達通信的影像監視設備的禁令,是去年《國防授權法》(NDAA)的一部分,於2019 年 8 月 13 日正式生效。為配合該禁令的實施,美國政府還發布了《聯邦採購條例》(FAR,Federal Acquisition Regulation),其中概述了如何逐步應用該條例的臨時規則。


該 FAR 中概述的規則包括:
.一項「招標條款」,要求政府承包商聲明投標書,是否列有包括該法案所涵蓋的設備;

將涵蓋設備定義為包括商業項目,包括商業可用的現成(COTS)項目,該規則說,「可能對許多小型實體,產生重大的經濟影響;」

.要求政府採購官員修改不確定的交貨合同,以包括將來訂單的 FAR 條款;

.將禁令擴展到微購買採購底線值(10,000美元),和簡化購置閾值(250,000美元)或以下的合同,這通常使代理機構,能夠在不應用聯邦購置規則的情況下,進行購買。

.禁止從中國電信巨頭華為和中興通訊公司,購買和安裝設備。據推測,這還將擴展到華為子公司海思半導體,後者的晶片已在許多網路攝影機中找到。

.並且,賦予執行機構負責人,以個案為基礎的一次性豁免的能力,最長可達兩年。

但是,該規則尚未最終確定,感興趣的各方可以在 10 月 15 日之前提交有關 FAR 的回饋。所謂「黑名單」規定的規則,將禁止政府機構接受,利用承包商提供的設備和服務的承包商的投標。上述提供者預計將單獨處理,並且從現在起一年內生效,除非修改法律。


根據安全行業協會(SIA),政府關係高級總監 Jake Parker 的說法,政府針對該行業發布的臨時規則的,最直接影響,是承包商需要證明,他們是否提供了承保範圍,向政府提供的產品或服務。他說:「例如,業內人士與 GSA 簽訂了長期合同,他們需要在那裡進行認證,而且在許多情況下,當他們從代理商那裡獲得聯繫時,就需要在每個訂單級別進行認證。」

海康威視公司發言人,在提供給 SecurityInfoWatch 的一份聲明中說,該公司對該規定已生效,而沒有任何審查或調查,以保證上述限制感到「失望」。

聲明寫道:「我們認為,這項規定對海康威視,是沒有理由或不當行為的,是不公正和針對性的。」

「與此同時,我們正在評估各種可用選擇,以對抗這種毫無根據的包容性,並保護公司及其合作夥伴的權益。自 2001 年以來,海康威視的產品一直保護著全世界的人們、社區、財產和資產。為此,海康威視嚴格遵守我們營運所在的,所有國家和地區的法律法規。我們已經做出了巨大的努力,以確保我們產品的安全性,符合美國政府要求的所有要求,包括美國國家標準技術研究所的聯邦資訊處理標準(FIPS)140- 2 認證。」

在其網站上發布的聲明中,大華還批評了政府頒布禁令的決定。

聲明說:「該禁令是倉促制訂的,沒有任何證據依據,或正當程序。」明確地說,該禁令僅與聯邦機構有關。商業實體可能會像州和地方政府一般,繼續購買大華產品。大華致力於美國和全球的法律合規。」


找出問題
鑑於海康威視(Hikvision)和大華(Dahua)等龐大的 OEM 產品組合、系統整合商、政府承包商和採購人員,在試圖確定他們已經部署,或計劃安裝的涵蓋產品時,可能面臨重大挑戰。

帕克說:「我們希望在規則涵蓋的範圍內,提供更多的清晰度。」 「不幸的是,所提供的定義,只是重複了基本法規中的內容,而該法規是我們審查過的最差書面,和令人困惑的法規之一。鑑於該規則(不包含)的進一步定義,代理機構顯然將在自己的指導下,有很大的裁定權來實施此規則。」

據 GSA 計劃主要承包商 Securityhunter 首席執行官邁克爾·羅傑斯(Michael Rogers)稱,大多數最終使用者,對網路上懸掛的攝影機也一無所知。

「這些客戶真的不知道 …… 例如海康威視和大華攝影機。最終使用者如何真正知道,它是海康威視;還是大華攝影機?它可以寫在外殼上,但是它們經常貼牌生產和貼上私人標籤–聯邦機構真的會知道嗎?」羅傑斯問。 

「聯邦管理人員,沒有使用像 Securityhunter 這樣的公司,來對他們真正擁有的,以及真正拆卸這些攝影機的多年計劃,有一個真正的評估。我們的一位客戶去了他們的 IT 部門,IT 人員說:「不,您真的沒有問題。」我們必須告訴他們,這完全是假的–他們確實有問題。他們不能只是說,'我們沒有賣海康威視',是因為他們看不到它。」


翻錄和替換?
儘管一些整合商已經對必須拆卸和更換,現有監視系統的可能性表示了擔憂,但派克說,到目前為止,FAR 中沒有列出任何顯示這種情況的資訊。他說:「如果代理機構尋求豁免,法規中就不會有任何替代的。」

 「如果代理商尋求豁免,他們將需要一個逐步淘汰計劃,來(最終)更換現有設備。我認為這樣做的意圖是,儘管採購週期和技術更新週期,都可以自然地進行更換。」

羅傑斯對此表示同意,並說,這項禁令背後的想法,或多或少是為了最大程度地降低,人們認為前進的風險,而不是給預算拮據的機構,造成不必要的麻煩,以徹底改革其安全系統。

羅傑斯解釋說:「他們不會因部署這些產品而受到懲罰,因為這是一項沒有資金的計劃–他們只需要今天就停止購買它。」 「(NDAA 禁令)實際上是在說 - '嘿,這裡有風險,'(國會)不希望(風險)擴散。這是一個警鐘,他們需要辨識這種類型的設備,停止購買,然後根據技術更新合同,最終將其替換。

現實情況是,NDAA 使我們走上了一條道路,即十年之內,政府將不再部署任何(被禁止的技術)。政府喜歡計劃,這是進行這種過渡的,一種非常緩慢且廉價的方法。」

羅傑斯補充說,他的公司已經提出,要分析一些政府客戶的系統,但是他們似乎並不著急。他承認:「我們已經與其中一些組織進行了交談,並提出要對其進行評估,但似乎對此沒有太大興趣。」 

「目前尚無人真正推動這一目標,但我不知道這種情況是否會改變(該禁令正式生效)。對於只有這麼多資源的公務員來說,這確實是一個挑戰。

「我們出去嘗試對我們的(政府)客戶,進行有關 NDAA 的教育訓練,它主要說明您需要瞭解網路上的內容,以及這些內容如何造成漏洞,但是問題是,這是其中的另一個原因」羅傑斯補充說,「沒有資金的計劃」 - 聯邦政府有很多計劃 - 他們說,「你們應該做這個或尋找它,但是順便說一下,我們沒有給您任何額外的錢。」 

「對於試圖做某事,但沒有財力或人力,來執行它的聯邦安全人員來說,這只是更大的壓力。」


有多少台攝影機?
儘管擔心該規定所涵蓋的設備,在政府內部具有廣泛的影響,但羅傑斯表示,受影響的攝影機和其他產品,大多位於中小型部署的邊緣。

他說:「您會發現它們大多在 '邊緣',例如,在軍人的宿舍、車庫,在弗吉尼亞州的小型醫院和小型辦公地點,因為它們的價格太高了,」 「您會在所有這些不同的(OEM)名稱下看到它們,因為政府正在使價值最大化,而從未認為這是一種風險。在州和地方一級,您會看到這些類型的攝影機中的很大比例,但這不是聯邦政府。」


黑名單規訂
關於黑名單的規訂,帕克說,根據迄今為止,新加坡航空與政府官員的對話,他們認為該禁令的範圍,不會像某些人所推測的那樣廣泛,並且該禁令將更狹窄地適用於使用黑名單。

公司在履行聯邦合同中,提供的服務和產品。新航也要求在這一點上更加明確。他說:「我們已經就這項規定,與政府分享了我們的想法,我認為這是該規定中,比起最初規定,更為重要的部分,因此,我們最擔心的是要充分清楚其含義,」他說。

安全整合商的底線
羅傑斯認為,最終,NDAA 可能會為整合商帶來福音,因為它將使他們能夠向政府客戶追加銷售。他說:「 NDAA 對安全整合商非常有用,因為當(您的客戶)放棄低價選擇時,這對我們來說顯然是一件好事。」

台灣對於安全監控、通訊產品,政府、業界的處理情形
以上本篇報導來自 SIW 這家美國知名安控網路媒體,對於美國政府處理 NDAA,以及對於美國安控產業造成的衝擊與利弊得失,有一個完整的輪廓。

台灣是否有如美國的類似情形?台灣政府相關權責管理單位,對這些相關的技術、規範的議題,了解了多少?是否積極成立專責專人處理?

民間企業的態度,又是如何面對?是藉機偷天換日?或是刻意模糊化,讓在這方面的應用與採購,繼續在於一個混沌模陵兩可的空間?為什麼標榜 MIT 的安控業者,大多私底下小小聲喊,卻幾乎看不到敢登台振臂大喊?

以下是對於危害國家資通安全產品限制使用,我們所追蹤得到的情形。

https://fnc.ebc.net.tw/FncNews/headline/74000

危害國家資通安全產品限制使用原則
大紀元2020年01月19日訊】(大紀元記者賴玟茹台灣綜合報導)行政院長蘇貞昌及內閣團隊都獲慰留,但對於去(2019)年曾表定推出,卻沒有端上檯面的政策引發關注,包括禁止公務機關採購危害國家資通安全產品清單,及中正紀念堂轉型方案也退回文化部。





行政院發布「危害國家資安產品限制原則」,將不僅限於中國商品 https://www.thenewslens.com/article/117602 108-05-20

按此回今日3S Market新聞首頁

沒有留言:

張貼留言