電腦效能應用與安全研究室 Performance, Applications and Security Lab


我們的研究範圍很廣,從嵌入式系統、手機應用、一直到雲端計算、商務應用、資訊安全都有做。
我們的合作研究夥伴很多,包括聯發科、IBM、中研院、資策會,還有和台大、清大、交大的教授合組研發團隊
,包括高階應用處理器架構研究、虛擬化技術、異質計算、系統軟體等重要技術的研究與創新,我們很關切台灣人才與產業的未來。

2014年4月7日 星期一

外國廠商參與資通訊產業的國安議題?看看英國怎麼看國安議題 (精簡版)

以下摘要自英國政府在2013年6月的國會報告「外國廠商參與關鍵國家基礎建設對國家安全的可能影響」Foreign involvement in the Critical National Infrastructure - The implications for national security (https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/205680/ISC-Report-Foreign-Investment-in-the-Critical-National-Infrastructure.pdf),二十多頁的內容談的是資通訊產業的資安議題,絕大部分是針對中國的華為。

這個資料是Intelligence and Security Committee (ISC)做出來的,讓首相能夠有充分的資料對國會做報告。這個資料也是公開的,可以讓大眾檢視。ISC這個政府單位很有趣,由國會提名委員,首相任命,直接對首相負責,可以監督英國的三大情資機關,the Security Service (MI5), the Secret Intelligence Service (MI6) and the Government Communications Headquarters (GCHQ),大概等同於我們的國安會。MI5大概是國安局,MI6是007所服務的情報局,GCHQ等同於我們的NCC。

重點節錄:

私有企業對商用基礎建設所做的決定,對於國家安全的影響非常大... 由於私有化和國際化,商業利益和國家安全之間有潛在的衝突,政府在建置這些設備時,尤其是國外研發和製造的設備,必須有很清楚的策略與有效的規範,以確保商業利益和國家安全之間的平衡。我們在此以BT和華作為討論題材。

華為和中國的種種關連性值得關切,因為這些造成大眾懷疑華為的動機是否是純商業的還是政治性的... 然而,華為矢口否認他與中國政府或軍隊有關,完全沒有接收政府的補助,可是,他的財務結構並不明確。... 當華為與中國的關係被質疑時,他發動大批的文宣廣告,企圖製造他是可被信任的通訊設備製造商。

然而華為的宣傳不大順利,其他的國家都逐漸提高戒備。在美國,最近的國會報告指出華為和中興的所提供的設備中的潛在危險,有可能傷害美國核心的國家安全。同時,為了國安,澳洲政府已經決定不准華為參與國家寬頻網路的建置。

華為在英國的交易出了什麼問題呢?

首先,相當於中華電信的BT,說在2003年告知政府職員華為有參與「21世紀網路建設案」,但是這些政府職員一直到2006年簽合約之前,並沒有將華為的參與告知內閣的部長們,這樣的失誤,是我們應該要搞清楚幕後原因的:
- 首先,職員們的說法是,就算通知長官,因為無法可管,華為的參與也不會被禁止,所以通知了也沒用。
- 然而,這是錯誤的認知,內閣其實知道這些交易,而且有權力可阻止這樣的交易,但是阻止交易所需付出的財務和政治代價太高。
- 在這個案子裡,政府的著眼點在於商業利益,並沒有考慮國安議題。
這是完全無法合理化的失誤,類似這樣重大的決定,必須由內閣做決定。

政府保護國民安全的職責絕對不可因為害怕經濟損失或是缺乏妥善的制度而打折扣。然而,由於缺乏明確的措施、權責不分,國家安全已經陷入危機,而且還一直在危機之中,被忽略。

BT和華為已有長達十年的關係,而其中牽涉到國安的議題居然沒有足夠信賴的制度可管。我們委員會很震驚,因為職員們連長官都沒有告知,更不用說讓部長們來關切這些議題。對於國外廠商參與關鍵國家基礎建設上的參與,我們不相信政府至今有任何的改進措施。

國安局(Security Service)告訴我們,理論上,這些華為的設備提供中國很誘人的滲透諜報機會,而且情報聯席會(JIC)也警告過,透過這些機會所進行的有敵意的攻擊,是非常難以偵測和預防的,而且也讓中國能夠秘密攔截和擾亂我們的資訊網路。

在這些通訊器材裡的軟體包含超過一百萬行程式碼,GCHQ根本無力查證,裡面總是有潛在危險,重點是要如何管理和防堵這些危險。

GCHQ雖然有要求華為配合,以提高可信度的作法,但是也承認華為並不見得很積極。... 由於華為希望藉由與英國的合作,向國際證明他的可信度,所以他現在是很盡力也很花錢在做這個暱稱為Cell的資安評估中心(Cyber Security Evaluation Centre),因此告誡政府不可大意,還是必須更嚴格加強安全措施。

既然大多數資通訊設備都已經是在中國研發或製造的,那麼不買這些設備並不是個好辦法。所以風險管理的方法(risk management approach)才是重點。政府要有適當的程序來評估這些風險,以及管理風險,而且關鍵是,這個程序必須完完全全與制度整合,無論是在簽約前或是簽約後,絕對不是附帶品。

我們不相信英國在與華為交易前有做好準備,而是因為我們給了壓力之後,政府才告訴我們說他們現在已經有了風險評估的制度。我們等著看這些制度是否有用:我們在報告中所提出的作法,是確保政府不會再次墮落所需要的東西。

---------------

看看英國的政府單位對於政府本身嚴厲的檢討,回頭看看國內的操作,各位做何感想?除了技術問題之外,報告中第一個檢討的是政治的問題。以華為龐大的資金和廉價的設備,連英國政府都抵擋不了,何況是台灣呢?

報告中說,買設備是無可避免的,但必須要風險評估和管理措施。請問我們政府除了說「現在來看,風險不是很大」之外,有提出任何措施嗎?政府自己不提措施,讓民眾安心,難道我們民眾自己提嗎?

買設備的風險大,還是引入資通訊網路服務的風險大?當然是後者!設備還有辦法監控和管理,人家來一組人,你要怎麼管?英國根本不可能讓外國人來從事國家的基礎資通訊網路服務的。

政府為了取信於民,除了重複說風險不大之外,是否有制定了什麼能讓民眾放心的措施?是否有找人好好蒐集與提供資料對民眾說明?

3/10的新聞報導(http://ppt.cc/chdf):『蔡得勝答詢時說,國安局2月14日召集41個部門單位做好仔細評估,報告已密件送立法院,經過這麼多天,各部會都動起來,做好安全管控評估,「現在來看,風險不是很大」。』

根據4月3日的新聞報導(http://ppt.cc/SWKE):「立委管碧玲說詢問服貿開放電信類項目,NCC是否參予談判、開放項目是否由中國大陸提出,石世豪表示,NCC沒有出席會議」

國安局花了24天,就能夠做好評估,告訴民眾「風險不是很大」。NCC根本沒有出席服貿談判會議,但是也可以說「風險不是很大」,還可以跟經濟部一起邀集電信業者與資策會等公設財團法人開記者會,批評連署質疑國安議題的教授們無實務經驗...

這篇報告我可以花一個小時看完,花三個小時把重點翻譯給大家看,如果我沒有實務經驗,請找一些有實務經驗的專家出來教導我們好嗎?

1 則留言:

  1. 說的好啊,不過,就是因為你沒有任何實務經驗,你的所有評論只是單純從別人的文字中所獲得的,沒做過一點點這個行業的學者,到底憑著哪一點自信在那邊發表讓別人以為好像你曾經有過實務經驗,沒碰過這個產業任何設備的嫩B先去摸摸,再來撰寫比較實在吧。

    回覆刪除