cookieOptions = {...}; .政府與影像監控設備業者,敢不敢面對「資安即國安」的真正問題? - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

3S MARKET
2020年8月10日 星期一

China reportedly used chips 
to spy on US tech companies



3S MARKET 施正偉

影像監控系統已經是保護政府機關、公共設施、企業工廠、居家的財產與生命安全,第一道最重要的設備。但是這些影像監控系統卻也是如下的報導中,經常是「優先被駭」或「連帶受駭」的目標。

5 月 4 日、5 日,幾乎是國內唯二石油供應商、掌握全台超過 2,400 家加油站的中油與台塑,不約而同地遭到惡意軟體攻擊,前者一度因此暫停旗下行動支付 App 功能,甚至, 2019 年營收逾 660 億元的記憶體封測大廠力成,也同時傳出遭駭客攻擊。據了解這段期間國內遭駭情形,簡直可用Pandemic」來形容比擬都不為過。

5 月 17 日 UDN 報導總統府遭駭,府方從前天傍晚起連續接獲媒體記者詢問後驚覺不妙,立刻將檔案逐一比對,找到遭駭的電腦,並與國安單位聯手追查,研判應是等級極高的駭客所為,也是國內首宗藉由資料遭駭,並變造散布的重大資安事件。」


台灣資安遭駭全球第一,政府、業者束手無策?
去年三月以色列網路安全廠商 Check Point,在台公布《2019年網路安全報告》,報告中指出,去年全球共有超過 30 億人暴露在資安風險中,台灣部分不但所有惡意軟體攻擊次數與比例,都是全球平均值的 2 倍,而且也是全球殭屍網路攻擊最多的地方,但資安投資卻沒有等比例成長,一般企業反而認為資安是支出成本,這值得國內企業省思。

今年六月,在最新的《全球DDoS威脅態勢報告》中針對 2019 年 5 月至 12 月期間的 3643 種網路層 DDoS 攻擊,和 42390 種應用層 DDoS 攻擊,進行了統計分析中,台灣位於最常被攻擊地區第二大多數的網路攻擊都是持續且長期的,且針對相同目標發動攻擊,四分之一的被攻擊者,皆被攻擊超過十次以上,且一次攻擊中包含了多種類型攻擊。

另外報告也指出,隨著印度首次登上接收最多攻擊的國家,而幾乎一半的攻擊請求來源自中國與菲律賓,亞洲成為許多攻擊者的目標,也是發動最多攻擊的來源地。而台灣在攻擊數量,以及攻擊目標皆位居第二,香港、菲律賓常為左右。

政府與產業,真的有在面對「資安即國安」的事實嗎?
行政院在去年 4 月 19 日公布「各機關對危害國家資通安全產品限制使用原則」行政命令,要求各機關盤點已經採購、來自危險地區的產品清單,3 個月內送交行政院,未來將公布一份正面表列的禁用產品清單,給受資安法規範的中央與地方政府,以及關鍵基礎設施提供者等參考。


但是將近一年半的時間過去了,國家明列「資安即國安」的政策,政府的決心在哪裡?企業的共識是否形成?國民的認知教育是否建立?資安即國安到處聽得到;怎麼做、誰來做、從什麼地方做?專家很多,實踐者難尋?

對此,行政院發言人 Kolas Yotaka 回應,資通安全疑慮禁購清單,目前仍由資安處確認相關文字當中,尚未定案;財團法人電信技術中心執行長范俊逸表示,行政院公布「危害國家資安產品限制原則」時程比較慢,是因為需縝密地詳細列出原因,因此需要花更多時間去評估。

范俊逸表示,就實務問題上分析,早期許多國家在布建基礎設施時,沒有資安觀念,不注重哪個廠牌不能買,常因為低價就購買,像是日前傳出海康威視被控,蒐集了中國數億人口的臉孔資料,存在嚴重資安風險,近幾年才開始重視這樣的問題。

范俊逸指出,現階段大範圍更換相關資安設備,地方政府可能會面臨巨大財政壓力,建議縣市政府能夠先做資安設備的盤點,列出高、中、低風險的設備使用狀況,在國家資源的輔助下,高風險設備能盡快做更換,而中、低風險的項目能暫時以嚴格管理措施,來降低資安風險,當然還是希望存在資安風險的設備,後續能做更換。

近日媒體報導行政院交給立法院的「政府機關使用中國大陸廠牌資通訊設備情形調查書面報告」,報告揭露了到目前為止的調查結果:至 3 月上旬調查 7,704 個公務機關有無使用或採購中國大陸廠牌資通訊設備;截至本年 4 月 13 日止,已有 3,837 個公務機關回覆上述資訊。

根據行政院的報告,共有 38 個中央機關、 108 個地方機關、 80 個學校單位,使用中國廠牌資通訊設備,所使用的設備包含海康威視、華為、大疆、普聯(TP-Link)、歐家控股(OPPO)、小米、大華(Dahua)7 大廠牌。

對於熟悉這些裝置,於公部門使用中國監視設備的業者,對於這統計數字形容為「有報有準算,沒報繼續做」,意思就是說這些爆出來的數字根本不精確,特別是「白牌充斥」,拿中國模組穿上外殼,大喊 MIT 的更是比比皆是,政府不懂辨認、也無從抓起,上下交相賊,大家都繼續混下去!


美國為什麼就有 Guts,直接寫入 NDAA 國防授權法?
對比美國的做法,去年 8 月 13 日公布 NDAA 889 條法案。FAR 委員會於去年 7月 14 日發布了一項臨時規則,對 FAR 52.204-24 和 FAR 52.204-25 進行了修訂,以實施 2019 年《國防授權法》(NDAA)889(a)(1)(B)節,禁止執行機構參與與在合同實體內任何地方使用華為、中興通訊、海能達、海康威視、大華或其他已確定的電信設備和服務(「隱含的電信設備和服務」)的承包商簽訂,續籤或擴展合同,作為任何部分的系統或關鍵技術的實質或必要組成部分一個系統,無論承包商與政府合同的履行是否有聯繫。

與 889(a)(1)(A)於 2019 年 8 月 13 日生效的其他重大差異中,第 889(a)(1)(B)條的禁止並非強制性的下調;承包商使用回程和漫遊功能(包括覆蓋的電信設備)的例外情況不包括在內;並且有更廣泛的豁免要求要求。此外,雖然該規則當前僅適用於要約方實體,但最終規則可能適用於所有要約方國內關聯公司和子公司。

除非獲得豁免,否則新的臨時規則將於 2020 年 8 月 13 日生效;但是,預計合同官員將立即開始在招標中,加入新的代表要求(FAR 52.204-24 的修訂版)。對該規則的評論應於 2020 年 9 月 14 日截止。

相較美國,台灣的「資安即國安」執行了什麼?一堆組織的成立外,是否真正針對問題,確實去解決?還是被動的有做有準算?以監視錄影系統受駭的情況來說,最後的解決方式就是改韌體,前面的防護作業是否真正起到作用?


監視錄影系統的資安問題在哪裡?
這是一個非常專業,且涉及了政府政策、產業發展、廠商權益、公共安全,至少四個面向的課題。從理性面來看,我們都可以體會與體諒各方的立場。但是立場之外,「安全」是否就這樣被妥協掉了?這個被妥協掉的成本,能否能抵銷掉難以預知發生「被駭」的代價?

3S MARKET 與台灣電信工程同業公會,在六月合作舉辦三場的「台灣智慧安控國家隊高峰會」,其中相關探討的議題、參與廠商的意見與發言,經由會議總結所形成的白皮書,必須很中肯的說,已經很客觀把影像監視產業從晶片、監視錄影設備製造,包括銷售通路、系統整合與周邊跨產業、安裝工程,到服務與應用單位,在技術、製造、應用、市場四個方向,第一次把產業所面臨的問題、威脅、機會、展望,具體的匯集。

電信公會理事長李金池,在高峰會的會前會後,更拜訪了政府相關主管機關、大型顧問公司、研究單位,以及與幾位立法委員的請益溝通。在原本 8 月 5 日要舉行的「振興智慧安控產業,打造台灣國家隊公聽會」,李金池並主動邀約銷售中國海康威視與大華監視產品的業者參加。李金池表示,既然是公聽會,就應該有各方立場的廠商出席。

李金池強調,跨產業階層、跨領域的議題,本來就會存在不同的意見與立場。但是這些意見與立場也正挑戰政府單位、相關廠商業者的專業,與產業市場發展的前瞻。是的,立場、專業、前瞻,正是監視設備產業的資安問題之核心所在。


來自影像監控資安專業的挑戰
由於中國晶片、人臉辨識技術,隨著中國影像監視設備的外銷,幾乎佈滿全球。特別是武漢肺炎疫情,中國政府更策略性把熱影像測溫攝影機,大力銷售到全球。有專家表示,結合海思晶片(Hisilicon 3519 系列 是全世界目前最完整的人臉辨識監控應用晶片)、人臉辨識技術、熱影像技術,讓中國趁此把全世界看光光。

據業者表示,今年四月教育部通過對於高中以下,人數超過一千人之國中小學,提撥 1.5 億元採購影像測溫設備,有極高的比率是來自中國的產品。原本這是一項政府德政美意,但是監控的專業,並非一般人士所能容易了解,無疑是「資安即國安」開啟一個大漏洞。

當然有些政府單位也具備極高警覺性。因隨同電信公會理事長李金池拜訪相關政府機關得知,近日以新加坡商湯的名義,欲進口 31,000 套人臉辨識設備到台灣,該主管機關即不予通過。該機關主管表示,該人臉辨識設備,如進口到了台灣,並再結合了海康威視或大華的攝影機,台灣豈不也成了中國天網計畫與雪亮工程,被監視的一環?


來自產業發展的挑戰
隨著數位化、網路化的發展,事實上晶片已成了影像監視產業的重心。但是中國傾國家之力扶植了海思半導體,讓台灣以中小企業規模為主的監視產業,實在難與中國業者競爭。但是政府是否確實了解這樣的產業現實狀況?政府是否真正了解到晶片的發展,是否確實做好資安的基礎?

沒有能力在晶片加值發展的業者,只好繼續吸食海思所提供的嗎啡晶片;而有能力開發軟體的廠商,大都也只能自顧;晶片業者在國內自己人無法下 MOQ 的尷尬情形下,也只能去助長對岸的競爭者。一些不知情的業者,猛批高峰會,甚至用很多方式,試圖僅要做出利於少數人的做法。產業廠商各自立場行事,政府是否能清楚站在一個扮演客觀推動產業發展的角色,甚至藉此做好「資安即國安」。


來自前瞻的挑戰
台灣可以是全球影像監視設備的另一個選擇,因為台灣有影像監視晶片廠商,有監視攝影機與儲存製造業者。如果眾多國際市場對中國的監視設備,存在諸多漏洞與後門的疑慮,台灣影像監視設備絕對是最佳的選擇。

前瞻必須有高度的思維,但是業者有沒有這樣的企圖心,政府有沒有做好「資安即國安」的決心。像目前這樣,從各自立場為出發,只想掌握各自的資源,如何與中國的紅色供應鏈,以及由中國國家所支持的企業去競爭?

我聽到有業者說,高峰會與公聽會的舉辦,是在對台灣監視業者的傷口上灑鹽。甚至很多人「勸說」,不要高調去談晶片與諸如人臉辨識等,所帶來資安疑慮的種種問題。

當全世界都在談這些議題的時候,台灣監視業卻要自己彼此遮住眼睛、堵住耳朵、摀住嘴巴,這樣做就真能讓監視業者活得更好嗎?難道台灣業者不去因應,全世界就會因此停了下來嗎?

面對問題才是真正的解決之道
既然「資安即國安」是連總統就職演說,都公開昭示的內容,為何至今還如此慢條斯理漫步在雲端?是不是政府的態度不明確,一再讓僥倖者有期待的空間?是暗示大家可以「沒報繼續做」?而讓那些這一年多來爆料的立法委員或地方民意代表,玩玩「有報有準算」就了結?


連部分業者都把「去中國晶片」緩一緩再說的言論都出來了,說這是傷口上灑鹽,影像監控產業還真的想做外銷嗎?甚至也有些業者「竹篙逗菜刀」,一再誤導產業發展的方向。

在連續與電信公會理事長李金池,拜訪了政府相關主管機關、大型顧問公司、研究單位,這些專家很多都一針見血,或巨細彌遺提出目前整個影像監控資安的癥結問題所在,但卻也在眾多的「潛規則」下,至少到目前為止,只有極少數廠商真正面對這些問題。

上週五拜訪一家台灣非常具代表性的監視設備製造廠負責人,他在原本公聽會舉辦的前一週,主動打電話告訴我:「 Wells,如果公聽需要我出席,我願意做為台灣影像監控業一份子,盡一份力量。」上週五拜訪他時,這位董事長再次提到這件事,他說:「我願意做為台灣影像監控業一份子,盡一份力量。但如果大家都各自盤算,我也只好自謀生路!」

7月29日電信公會理事長邀集 KCA 鎧鋒企業董事長郭吉榮、3S VISION 立承系統董事長李承鴻與資深經理鄭東原、松華國際副總經理張士恭、3S MARKET 施正偉等公會會員及顧問,拜訪中華電信研究院院長林昭陽等多位博碩士,請教影像監控在技術領域、場域應用領域、資安領域等的各項專業的探討,以期在推動「資安即國安」的應有正確認知與資源結合。

「資安即國安」不能只有說法、想法,用做法才能帶動
台灣電信工程同業公會與 3S MARKET,號召了影像監控晶片業者、監視產品製造業者、電信網路通信設備業者、系統整合業者、保全服務業者,舉辦三場高峰會議,探討了整個影像監視產業的優勢、威脅與發展的多方面議題與建議方案

電信公會理事長李金池向蘇巧慧等立委們說明時,都表示到目前為止,這些立委們所接觸的各個產業,在振興產業的提議上,沒有一個產業如同影像監產業這樣,不但結集了全產業生態代表業者的參與,還系統性的整理出了產業白皮書,確實令這些立法委員感到影像監控產業的努力。

影像監產業必然是推動「資安即國安」的重要產業,美國政府大動作用國防授權法,禁止海康威視、大華的監視產品,以及華為、海思、中興通訊、海能達的晶片與網通設備,足見影像監視產業生態,對於資安、國安的影響是何等關鍵。

很多人可能只看到的是三場高峰會,還有一場臨時因故取消的公聽會。但是沒有被看到的是,為了推動「資安即國安」,由電信公會理事長李金池所召集,背後近十次的規劃會議,以及向專家、研究單位等的請益拜訪。

台灣這群影像監控生態業者,不是用消費的方式去面對問題,而是用實際的做法在推動「資安即國安」,應該要得到政府的重視,也期待有更多的業者響應。

(由於部分業者不願曝光或基於維護廠商權益原則,部分引述自廠商的內容,無法呈現具體的身份)

0 comments: