如何防止紅色供應鏈擴散進化(彭睿仁)
彭睿仁/資策會科技法律研究所研究員、東吳大學政治學系兼任助理教授
/cloudfront-ap-northeast-1.images.arcpublishing.com/appledaily/5R3LXSBOELUPMERYOP5KLPT5Z4.jpg)
政府採購資訊或科技設備是否來自紅色供應鏈,將關係國家第一道資安防線的穩固與否。示意圖。設計畫面
近日媒體揭露立法院、陸軍官校裝設之太陽能電板及國會議事影音管理系統等,竟然是華為等中企製造,足見紅色供應鏈早就經由國內廠商滲透政府重要設備採購,不但使我國資安漏洞大開,對國安危害更不在話下。
然而社會大眾及政府卻對此類層出不窮的紅色危機無感,只有在案件曝光後才加以拆除並試圖補強,惟其間不知有多少國家重要情資已被外洩。
由此可知,政府採購資訊或科技設備是否來自紅色供應鏈,將關係國家第一道資安防線的穩固與否。
單就政府採購案而言,若涉及電信設備及資訊相關採購,對投標廠商實應有最高規格之條件要求及檢視,但政府機關卻仍不斷發生得標廠商採用「中國製造」設備,而導致我國資安危機的案例,恐歸咎於我國《政府採購法》對於各級政府機關、所屬法人機構、公立學校與各類公營事業之採購案,並無直接明文禁止中資企業競標,或得標廠商採用中製零件設備。
修法規定排除中資投標
如同前述的立法院及陸軍官校,若中國透過駭客連網操作設備,難保不會破壞能源供應及其他重要資訊設備,造成政府機關伺服器防火牆運作中斷,藉此展開第二波攻擊,造成我國國防或其他核心科技外洩,若又有中製設備作為入侵管道,無疑如虎添翼,更加防不勝防。
在今年5月總統就職前夕,中油、台塑及記憶體封測廠力成公司都遭到中國駭客組織「Winnti Group」以勒索病毒進行攻擊,造成這3間公司因緊急斷網或暫時停產,導致重大商業損失。
雖然此次事件與中製設備無直接關聯,但石化能源及高科技產業為我國重要經濟建設,若中國駭客可經由中製設備滲透攻擊,短期將造成大眾權益受損或生活不便,長期更可能被中國軍方視為資訊戰的成功模式,對我國公私部門不定期、不限範圍發動資訊攻擊,導致政經局勢動盪及市場秩序失衡,進而製造恐懼、引發人心不安,並影響選舉結果。
面對中國對台高度敵意,及美中衝突情勢嚴峻的情況下,政府應未雨綢繆,於《政府採購法》及其相關子法中,以修法明文規定排除中資企業投標或禁止得標之國、內外廠商不得採購中製設備,同時並納入嚴格驗收規範與高額罰則,以嚇阻部分廠商為減少採購成本,故意在得標後,才採用低成本中製產品。
至於政府機關人員在廠商施工完畢驗收時,為何未能及時發現中製設備,竟然還完成驗收,若非媒體公開,則社會大眾都還被蒙在鼓裡,相關驗收人員的失職,實在有進一步調查、究責的必要。
此外,紅色供應鏈的產品不單是資訊設備或零組件,還包括防疫所需醫療器材與藥品,尤其在數位轉型與資料經濟發展趨勢下,更大幅延伸至數位傳輸及社群媒體平台服務供應。只是社群媒體提供影音及文字等資料上傳服務,而非實體產品,但數位傳輸服務往往與個資連結,任何人上傳至抖音(TikTok)的數位資料不只單純儲存或分享,同時也公開資料傳輸的地點與範圍。
例如日前已被美國和印度禁用,以及日本也考慮管制的TikTok,是近年來於國際間,逐漸取代FB及IG成為一般年族群相當喜愛的社群平台。TikTok讓民眾透過10多秒左右的影像,呈現日常生活的一切,容易吸引大眾關注,成為晉升網紅階級的重要途徑,但也讓大眾在拍攝短片時,因平台親民易用,忽略應有的資安意識,無意間洩漏周遭環境中的各種背景資料。
也因TikTok與中國官方關係密切,任何涉及隱私的疑慮轉眼間成為重大資安缺口。像是iPhone用戶安裝的TikTok如在使用中,則TikTok的App理論上可擷取並複製個人於蘋果相關設備中之各類帳號密碼、文件資料及郵件通信內容等。即使目前傳出微軟要收購TikTok,但被收購後的TikTok平台仍難以確保不會有任何中國情治機關留下的後門程式,日後被中國作為個資辨識或情報蒐集的工具。
廠商低成本考量成隱憂
紅色供應鏈之滲透無所不在,已非「政治的歸政治、經濟的歸經濟」一言所可以蔽之。對於中國而言,紅色供應鏈更早已與資訊戰、社群操作及媒體風向引導密切結合,並上升至地緣政治與區域戰略的國安議題。面對各種型態的「紅色攻擊」,除了政府應有更積極的作為外,多數廠商的低成本考量及民眾忽視的態度,恐怕才是更令人憂慮的問題了。
