National Defense Authorization Act: Section 889 Federal
隨著聯邦對海康威視,大華產品的禁令生效,安全行業尋求澄清
禁止在聯邦機構中,購買和安裝海康威視、大華和海能達的影像監控設備的禁令,於 8/13 正是生效。
這項禁止購買和安裝海康威視,大華和海能達的影像監視設備的禁令,是 2019 年《國防授權法》(NDAA)的一部分,於 8/13 正式生效。 為配合該禁令的實施,政府還發布了《聯邦採購條例》(FAR),其中概述瞭如何逐步應用該條例的臨時規則。
該 FAR 中概述的規則包括:
.一項「招標條款」,要求政府承包商聲明,該投標是否包括該法案所涵蓋的設備;
.將涵蓋設備定義為包括商業項目,包括商業可用的現成(COTS)項目,該規則說:「可能對許多小型實體產生重大的經濟影響;」
.要求政府採購人員修改不確定的交貨合同,以包括將來訂單的 FAR 條款;
.將禁令擴展到微購買最低值(10,000美元)和簡化購買最低值(250,000美元)或以下的合同,這通常使代理機構無需遵循聯邦採購規則,即可進行購買。
.禁止從中國電信巨頭華為,和中興通訊公司購買和安裝設備。據推測,這也並擴展到華為子公司海思半導體,後者的晶片已在許多網路攝影機中找到。
.並且,給予執行機構負責人,以個案為基礎的一次性豁免權,最長可達兩年。
但是,該規則尚未最終確定,有關各方可以在 10 月 15 日之前提交有關 FAR 的回饋。所謂「黑名單」規定的規則,將禁止政府機構接受利用承包商提供的設備和服務的投標。上述提供者預計將單獨處理,並且將在一年後生效,除非對法律進行更改。
根據美國安全產業協會(SIA)政府關係高級總監 Jake Parker 的說法,政府針對該行業發布的臨時規則的最直接影響,是承包商需要證明他們是否提供了承保範圍,向政府提供的產品或服務。他說:「例如,與 GSA 簽有長期合同,該行業的人已經簽訂合同,他們需要在那裡進行認證,並且在許多情況下,當他們從代理商那裡獲得聯繫時,就必須在每個訂單級別進行認證。」
海康威視公司發言人在提供給 SecurityInfoWatch 的一份聲明中說,公司對該規定已生效,而沒有任何審查或調查,以保證上述限制感到「失望」。
聲明寫道:「我們認為,這項規定是沒有理由或不當行為的海康威視,是不公正和針對性的。」 「與此同時,我們正在評估各種可用選擇,以對抗這種毫無根據的包容性,並保護公司和合作夥伴的權益。自 2001 年以來,海康威視的產品一直保護著全世界的人們、社區、財產和資產。
為此,海康威視嚴格遵守我們營運所在的所有國家的法律法規。我們已經做出了巨大的努力,以確保我們產品的安全性,符合美國政府要求的所有要求,包括獲得美國國家標準技術研究所的聯邦資訊處理標準(FIPS)140-2 認證。」
在其網站上發布的聲明中,大華還批評了政府頒布禁令的決定。
聲明說:「該禁令是倉促制訂的,沒有任何證據依據或正當程序。」 「明確地說,該禁令僅與聯邦機構有關。商業實體可能會像州和地方政府一般,繼續購買大華產品。大華致力於美國乃至全球的法律合規。」
找出問題
鑑於海康威視和大華等龐大的 OEM 產品組合、系統整合商、政府承包商和採購人員,在嘗試確定他們已經佈署或計劃安裝的涵蓋產品時,可能面臨重大挑戰。
帕克說:「我們希望在規則涵蓋的範圍內,提供更多的清晰度。」 「不幸的是,所提供的定義只是重複了基本法規中的內容,這是我們審查過的最差書面,和令人困惑的法規之一。鑑於該規則(不包含)的進一步定義,代理機構顯然將在其自己的指導下,有很大的酌處權來實施此規則。」
據 GSA 計劃主要承包商 Securityhunter 首席執行官邁克爾·羅傑斯(Michael Rogers)稱,大多數最終使用者對網路上懸掛的攝影機也一無所知。
「這些客戶真的不知道 …… 例如海康威視和大華攝影機。最終使用者如何真正知道,它是海康威視還是大華攝影機?它可以寫在外殼上,但是它們經常貼牌生產和貼上私人標籤–聯邦機構真的會知道嗎?」羅傑斯問。
「聯邦管理人員沒有使用像 Securityhunter 這樣的公司,來對他們真正擁有的,以及真正刪除它的多年計劃,有一個真正的評估。我們的一位客戶去了他們的 IT 部門,IT 專家說:「不,您真的沒有問題。」我們必須告訴他們,這完全是偽造的 - 他們確實有問題。他們不能只是說「我們沒有海康威視」是因為他們看不到它。」
翻錄和替換?
儘管一些整合商已經對必須拆除和更換,現有監視系統的可能性表示擔憂,但派克說,到目前為止,FAR 並未概述任何情況,表明情況將會如此。他說:「除了機構尋求豁免之外,法規中沒有其他任何內容。」 「如果代理商尋求豁免,他們將需要一個逐步淘汰計劃來(最終)更換現有設備。我認為這樣做的意圖是,儘管採購週期和技術更新週期,都會自然發生替換。」
羅傑斯對此表示同意,並說,這項禁令背後的想法,或多或少是為了最大程度地降低人們認為前進的風險,而不是給預算拮据的機構造成不必要的麻煩,以徹底改革其安全系統。
羅傑斯解釋說:「他們不會因佈署這些產品而受到懲罰,因為這是一項沒有資金的計劃–他們只需要今天就停止購買它。」 「(NDAA禁令)實際上是在說 - '嘿,這裡有風險,'(國會)不希望(風險)擴散。這是一個警鐘 - 他們需要辨識這種類型的設備,停止購買,然後根據技術更新合同最終將其替換。現實情況是,NDAA 使我們走上了一條道路,即十年之內,政府將不再佈署任何(被禁技術)。政府喜歡計劃,這是進行這種過渡的一種非常緩慢且廉價的方法。」
羅傑斯補充說,他的公司已經提出要分析一些政府客戶的系統,但是他們似乎並不著急。他承認:「我們已經與其中一些組織進行了交談,並提出要對其進行評估,但似乎對此並沒有太大的興趣。」 「目前尚無人真正推動這一目標,但是我不知道這種情況是否會改變(該禁令正式生效)。對於只有這麼多資源的公務員來說,這確實是一個挑戰。
「我們出去嘗試對我們的(政府)客戶,進行有關 NDAA 的教育,它基本上表明您需要瞭解網路上的內容,以及這些內容如何造成漏洞,但是問題是這是其中的另一個原因」羅傑斯補充說,「沒有資金的計劃」- 聯邦政府有很多計劃 - 他們說,「你們應該這樣做或正在尋找,但是順便說一下,我們沒有給您任何額外的錢,」 「對於試圖做某事,但沒有財力或人力來執行它的聯邦安全人員來說,這只是更大的壓力。」
那裡有幾台攝影機?
儘管擔心該規定所涵蓋的設備,在政府內部具有廣泛的影響,但羅傑斯說,受影響的攝影機和其他產品,大多位於中小型佈署的邊緣。
他說:「您會發現它們大多在'邊緣',例如,在軍人的宿舍、停車場,在弗吉尼亞州的小型醫院和小型辦公地點,因為它們訂價過高,」 「您會在所有這些不同的(OEM)名稱下看到它們,因為政府正在使價值最大化,而從未認為這是一種風險。在州和地方一級,您會看到這些類型的攝影機中的很大比例,但這不是聯邦政府。」
黑名單規定
關於黑名單的規定,Parker 說,根據迄今為止,SIA 與政府官員的對話,他們認為該禁令的範圍不會像某些人所推測的那樣廣泛,並且該禁令將更狹窄地適用於,使用公司在履行聯邦合同中提供的服務和產品。SIA 也要求在這一點上更加明確。他說:「我們已經就這項規定,與政府分享了我們的想法,我認為這是該規定中,比起最初規定更為重要的部分,因此我們最擔心的是要充分清楚其含義,」他說。
安全整合商的底線
羅傑斯認為,最終,NDAA 可能會為整合商帶來福音,因為它將使他們能夠向政府客戶追加銷售。他說:「 NDAA 對安全整合商很有用,因為當(您的客戶)放棄低價選擇時,這對我們來說顯然是一件好事。」
【任何經過翻譯或轉載之中文資訊,我們為了盡量使用台灣常用相關名詞與慣用語法,將與原中文有所變更,但不改內容意義 – 3S MARKET】
沒有留言:
張貼留言