2014年05月10日15:21
英國十年前引進華為悔不當初
作者:洪士灝(台大資工系副教授)
近日報載鴻海董事長郭台銘高調對政府嗆聲,說如果不准他的4G基地台用中國華為公司的通訊設備,就要拒絕繳稅,因此引起台灣社會高度關注。在這裡我不想談郭董,而是引用英國的例子,看看英國國安系統是如何深自檢討英國電信,引進華為設備所造成的國家安全隱憂,以及亡羊補牢的對策。
英國政府在2013年6月,針對「外國廠商參與關鍵國家基礎建設對國家安全的可能影響」,對國會提出報告。我在今年四月初翻譯和分析了這份報告,提醒NCC必須考慮清楚,服貿協議中開放中國經營資通訊網路服務的範圍,和建立有效的資安風險評估管理制度,也讓社會大眾瞭解先進國家是如何慎重看待這個議題,算是盡知識份子的棉薄之力。
英國政府這 份國會報告中,用了二十多頁的內容來談資通訊產業的資安議題,絕大部分是針對中國的華為。
這份資料是Intelligence and Security Committee (ISC)做出來的,讓首相能夠有充分的資料對國會做報告。這個資料也是公開的,可以讓大眾檢視。ISC這個政府單位,由國會提名委員,首相任命,直接對 首相負責,可以監督英國的三大情資機關,the Security Service (MI5), the Secret Intelligence Service (MI6) and the Government Communications Headquarters (GCHQ),大概等同於我們的國安會。MI5大概是國安局,MI6是007所服務的情報局,GCHQ則等同於我們的NCC。
以下就是英國國安局報告的重點摘要:
一、私有企業對商用基礎建設所做的決定,對於國家安全的影響非常重大... 由於私有化和國際化,商業利益和國家安全之間有潛在的衝突,政府在建置這些設備時,尤其是國外研發和製造的設備,必須有很清楚的策略與有效的規範,以確保 商業利益和國家安全之間的平衡。我們(指英國國安會)以BT(英國電信,相當於我們的中華電信)和華為的關係作為討論題材。
二、華為和中國的種種關連性值得關切,因為這些造成大眾懷疑華為的動機是否是純商業的還是政治性的... 然而,華為矢口否認他與中國政府或軍隊有關,完全沒有接收政府的補助,可是,他的財務結構並不明確。... 當華為與中國的關係被質疑時,他發動大批的文宣廣告,企圖宣稱他是可被信任的通訊設備製造商。
然而華為的宣傳不大順利,其他的國家都逐漸提高戒備。在美國,最近的國會報告指出,華為和中興所提供的設備潛藏危險,有可能 傷害美國核心的國家安全。同時,為了國安,澳洲政府已經決定不准華為參與國家寬頻網路的建置。
三、華為在英國的交易出了什麼問題呢?
首先,BT說,在2003年曾告知政府職員,華為有參與「21世紀網路建設案」,但是這些政府職員一直到2006年BT與華為簽合約之前,並沒有將華為的參與告知內閣的部長們,這樣的失誤,是我們應該要搞清楚幕後原因的:
- 首先,職員們的說法是,就算通知長官,因為無法可管,華為的參與也不會被禁止,所以通知了也沒用。
- 然而,這是錯誤的認知,內閣其實知道這些交易,而且有權力可阻止這樣的交易,只是阻止交易所需付出的財務和政治代價太 高。
- 在這個案子裡,政府的著眼點在於商業利益,並沒有考慮國安議題。這是完全無法合理化的失誤,類似這樣重大的決定,必須由 內閣來做決定。
四、政府保護國民安全的職責,絕對不可因為害怕經濟損失或是缺乏妥善的制度而打折扣。然而,由於缺乏明確的措施、權責不分,因為中國華為參與BT的網路建設,國家安全已經陷入危機,而且還一直在危機之中,卻被忽略。
BT和華為已有長達十年的關係,而其中牽涉到國安議題居然沒有足夠信賴的制度可管。我們很震驚,因為職員們連長官都沒有 告知,更不用說讓部長們來關切這些議題。對於國外廠商參與關鍵國家基礎建設上的參與,我們不相信政府至今有任何的改進措 施。
國安局(Security Service)告訴我們,理論上,這些華為的設備提供中國很誘人的滲透諜報機會,而且情報聯席會(JIC)也警告過,透過這些機會進行有敵意的攻擊,是非常難以偵測和預防的,而且也讓中國能夠秘密攔截和擾亂我們的資訊網路。
五、在這些通訊器材裡的軟體包含超過一百萬行程式碼,GCHQ根本無力查證,裡面總是有潛在危險,重點是要如何管理和防堵這些危險。
GCHQ雖然要求華為配合,以提高可信度,但是也承認華為不見得會很積極。... 雖然華為希望藉由與英國的合作,向國際證明他的可信度,所以華為現在很盡力也很花錢在做這個暱稱為Cell的資安評估中心(Cyber Security Evaluation Centre),但GCHQ告誡政府不可大意,還是必須更嚴格加強安全措 施。
六、由於大多數資通訊設備都已經是在中國研發或製造的,現在不買這些設備可能不是個好辦法。在此情況下,風險管理的方法 (risk management approach)才是重點。政府要有適當的程序來評估這些風險,以及管理風險,而且關鍵是,這個程序必須完完全全與制度整合,無論是在簽約前或是簽約 後,絕對不是附帶品。我們不相信英國在與華為交易前有做好準備,而是因為我們給了壓力之後,政府才告訴我們,現在已經有 了風險評估制度。我們等著看這些制度是否有用:我們在報告中所提出的作法,是為確保政府不會再次墮落所迫切需要的東西。
看看以上英國國安單位對於政府本身嚴厲的檢討批判,回頭看看台灣對兩岸間網路資通訊安全的態度,是不是讓人搖頭呢?以華為龐大的資金和廉價的設 備,連英國政府都抵擋不了,在十年前做了錯誤決策,如今只能補破網還不能確保國家安全,台灣能不記取教訓嗎?
買華為設備的固然省錢,但是,引入中國資通訊網路設備有其隱藏的風險,不可貪一時之快而便宜行事,以免誤蹈英國後塵。在此,我們支持NCC目前對本案的謹慎態度,更希望政府全面檢討與儘速建立採購案審核與資安防護機制,以確保國家安全。核四的殷鑑就在眼前,草率的採購,導致的無窮後患,最終還是由全民買單。除了郭董的採購案之外,兩岸服貿協議中對中國開放的二類電信電腦資通訊業務,也引起人民嚴重的關切,政府設法「有效」說明清楚,才能消弭當前社會各界的疑慮與紛擾。
附上原始報告的連結:
Foreign involvement in the Critical National Infrastructure - The implications for national security
(https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/205680/ISC-Report-Foreign-Investment-in-the-Critical-National-Infrastructure.pdf)
沒有留言:
張貼留言