[討論] 引進華為憂國安
2014年05月10日15:21
英國十年前引進華為悔不當初
作者:洪士灝(台大資工系副教授)
近日報載鴻海董事長郭台銘高調對政府嗆聲,說如果不准他的4G基地台用中國華為公司的
通訊設備,就要拒絕繳稅,因此引起台灣社會高度關注。在這裡我不想談郭董,而是引用
英國的例子,看看英國國安系統是如何深自檢討英國電信,引進華為設備所造成的國家安
全隱憂,以及亡羊補牢的對策。
英國政府在2013年6月,針對「外國廠商參與關鍵國家基礎建設對國家安全的可能影響」
,對國會提出報告。我在今年四月初翻譯和分析了這份報告,提醒NCC必須考慮清楚,服
貿協議中開放中國經營資通訊網路服務的範圍,和建立有效的資安風險評估管理制度,也
讓社會大眾瞭解先進國家是如何慎重看待這個議題,算是盡知識份子的棉薄之力。
英國政府這 份國會報告中,用了二十多頁的內容來談資通訊產業的資安議題,絕大部分
是針對中國的華為。
這份資料是Intelligence and Security Committee (ISC)做出來的,讓首相能夠有充分
的資料對國會做報告。這個資料也是公開的,可以讓大眾檢視。ISC這個政府單位,由國
會提名委員,首相任命,直接對 首相負責,可以監督英國的三大情資機關,the
Security Service (MI5), the Secret Intelligence Service (MI6) and the
Government Communications Headquarters (GCHQ),大概等同於我們的國安會。MI5大概
是國安局,MI6是007所服務的情報局,GCHQ則等同於我們的NCC。
以下就是英國國安局報告的重點摘要:
一、私有企業對商用基礎建設所做的決定,對於國家安全的影響非常重大... 由於私有化
和國際化,商業利益和國家安全之間有潛在的衝突,政府在建置這些設備時,尤其是國外
研發和製造的設備,必須有很清楚的策略與有效的規範,以確保 商業利益和國家安全之
間的平衡。我們(指英國國安會)以BT(英國電信,相當於我們的中華電信)和華為的關
係作為討論題材。
二、華為和中國的種種關連性值得關切,因為這些造成大眾懷疑華為的動機是否是純商業
的還是政治性的... 然而,華為矢口否認他與中國政府或軍隊有關,完全沒有接收政府的
補助,可是,他的財務結構並不明確。... 當華為與中國的關係被質疑時,他發動大批的
文宣廣告,企圖宣稱他是可被信任的通訊設備製造商。
然而華為的宣傳不大順利,其他的國家都逐漸提高戒備。在美國,最近的國會報告指出,
華為和中興所提供的設備潛藏危險,有可能 傷害美國核心的國家安全。同時,為了國安
,澳洲政府已經決定不准華為參與國家寬頻網路的建置。
三、華為在英國的交易出了什麼問題呢?
首先,BT說,在2003年曾告知政府職員,華為有參與「21世紀網路建設案」,但是這些政
府職員一直到2006年BT與華 為簽合約之前,並沒有將華為的參與告知內閣的部長們,這
樣的失誤,是我們應該要搞清楚幕後原因的:
- 首先,職員們的說法是,就算通知長官,因為無法可管,華為的參與也不會被禁止,所
以通知了也沒用。
- 然而,這是錯誤的認知,內閣其實知道這些交易,而且有權力可阻止這樣的交易,只是
阻止交易所需付出的財務和政治代價太 高。
- 在這個案子裡,政府的著眼點在於商業利益,並沒有考慮國安議題。這是完全無法合理
化的失誤,類似這樣重大的決定,必須由 內閣來做決定。
四、政府保護國民安全的職責,絕對不可因為害怕經濟損失或是缺乏妥善的制度而打折扣
。然而,由於缺乏明確的措施、權責不 分,因為中國華為參與BT的網路建設,國家安全
已經陷入危機,而且還一直在危機之中,卻被忽略。
BT和華為已有長達十年的關係,而其中牽涉到國安議題居然沒有足夠信賴的制度可管。我
們很震驚,因為職員們連長官都沒有 告知,更不用說讓部長們來關切這些議題。對於國
外廠商參與關鍵國家基礎建設上的參與,我們不相信政府至今有任何的改進措 施。
國安局(Security Service)告訴我們,理論上,這些華為的設備提供中國很誘人的滲透
諜報機會,而且情報聯席會(JIC)也警告過,透過這些機會進行有敵意的攻擊,是 非常
難以偵測和預防的,而且也讓中國能夠秘密攔截和擾亂我們的資訊網路。
五、在這些通訊器材裡的軟體包含超過一百萬行程式碼,GCHQ根本無力查證,裡面總是有
潛在危險,重點是要如何管理和防 堵這些危險。
GCHQ雖然要求華為配合,以提高可信度,但是也承認華為不見得會很積極。... 雖然華為
希望藉由與英國的合作,向國際證明他的可信度,所以華為現在很盡力也很花錢在做這個
暱稱為Cell的資安評估中心(Cyber Security Evaluation Centre),但GCHQ告誡政府不
可大意,還是必須更嚴格加強安全措 施。
六、由於大多數資通訊設備都已經是在中國研發或製造的,現在不買這些設備可能不是個
好辦法。在此情況下,風險管理的方法 (risk management approach)才是重點。政府
要有適當的程序來評估這些風險,以及管理風險,而且關鍵是,這個程序必須完完全全與
制度整合,無論是在簽約前或是簽約 後,絕對不是附帶品。我們不相信英國在與華為交
易前有做好準備,而是因為我們給了壓力之後,政府才告訴我們,現在已經有 了風險評
估制度。我們等著看這些制度是否有用:我們在報告中所提出的作法,是為確保政府不會
再次墮落所迫切需要的東西。
看看以上英國國安單位對於政府本身嚴厲的檢討批判,回頭看看台灣對兩岸間網路資通訊
安全的態度,是不是讓人搖頭呢?以華為龐大的資金和廉價的設 備,連英國政府都抵擋
不了,在十年前做了錯誤決策,如今只能補破網還不能確保國家安全,台灣能不記取教訓
嗎?
買華為設備的固然省錢,但是,引入中國資通訊網路設備有其隱藏的風險,不可貪一時之
快而便宜行事,以免誤蹈英國後塵。在此,我們支持NCC目前對本案的謹慎態度,更希望
政府全面檢討與儘速建立採購案審核與資安防護機制,以確保國家安全。核四的殷鑑就在
眼前,草率的採購,導致的無窮後患,最終還是由全民買單。除了郭董的採購案之外,兩
岸服貿協議中對中國開放的二類電信電腦資通訊業務,也引起人民嚴重的關切,政府設法
「有效」說明清楚,才能消弭當前社會各界的疑慮與紛擾。
附上原始報告的連結:
Foreign involvement in the Critical National Infrastructure - The
implications for national security
出處:http://ppt.cc/oGcG
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.160.205.206
※ 文章網址: http://www.ptt.cc/bbs/PublicIssue/M.1399727559.A.35F.html
推
05/11 01:47, , 1F
05/11 01:47, 1F