共軍中企在台灣設據點 成全球資安破口
【大紀元2021年01月03日訊】(大紀元記者張原彰台灣綜合報導)美國政府持續制裁中企,美國國防部在6月底時曾指出,中國伺服器龍頭「浪潮」(Inspur)有共軍背景,並在日前對其展開制裁。浪潮在台灣也設有據點,外界擔憂,浪潮製造的相關設備,恐已蔓延至台灣的企業界。學者更提到,中資設備被植入後門程式並竊取個資,「這是很容易做到的事。」他表示,投審會的防範力道不足,使得台灣有很多假外資、真中資的企業,「美國嚴格防堵中企,也都做給台灣看了,但台灣卻不跟著做,這對美國而言,形同一道破口。」
繼華為、TikToK、微信禁令後,川普政府持續制裁中企,並在去年11月12日頒布一道禁令,禁止美國人投資與中國軍方有關聯的31家中企,其中包括:華為、海康威視、中國移動、中國電信等,皆是牽涉資通訊設備的中企。而這份制裁名單,還包括中國伺服器龍頭浪潮。
美國國防部早在6月24日時,即公開認定中共國企浪潮具有共軍背景,指出該公司是「在美國運作的共產中國軍方企業」。隨即,傳出浪潮最大的晶片供應商英特爾(Intel),在7月初暫停供貨給浪潮的消息。
外界解讀,如同手機製造商「華為」般,主要製造伺服器的「浪潮」遭美方認定具有共軍背景,恐存在嚴重資安疑慮,因而祭出科技制裁。
中國設備留後門 成中共搜個資渠道
疫情使企業調整成線上作業的工作模式,加上5G時代的到來,民眾對於網路的依賴持續增加,也突顯資安防範的重要性,交通大學資訊工程學系教授陳志成說,以資訊的角度而言,常遇到的資安問題有分兩種,一種是遭駭客的攻擊,直接竊取資料。另一種是資料遭到攔截,包含伺服器在內的所有設備,只要牽涉資料的發送、儲存,有心人士都可抓取想要的資料,「這是非常簡單的事情。」
紅色資通訊設備、伺服器具有資安疑慮,已是各界的普遍認知。他說,更何況是使用具有疑慮的伺服器,所有資料都會通過它,想直接從裝置內部拷貝資料,這不是很困難的事情,「最簡單的方法,就是不要使用這類設備,用了就有被竊取資料的風險。」
對於中資設備具有的資安疑慮,交大資工系講座教授林盈達解釋,大部分都是擔憂設備端出問題,這可能在出貨時即已植入後門程式,或是先預留後門漏洞,等事後再植入後門程式。有心人士通過這些後門程式監控該設備的使用過程,或是搜集客戶的資料,再回傳給該設備開發或製造商,「包括華為在內等中國設備,大家都擔心它留有後門。」
特別是,林盈達說:「中共的法令要求這些資通訊設備廠商,必須向中共提供所搜集到的資料,迫使中企必須協助中共監控客戶。」
美企向中共繳個資 中企更肆無忌憚
林盈達以視訊會議軟體Zoom舉例,指出Zoom近期遭美國政府控告,提供美國客戶的資料給中共,而美國聯邦檢察官掌握Zoom高層人士與中共間的E-mail交涉紀錄。
他說,Zoom的創始人是華裔美國人,同時也是一家在美國登記的公司,之所以向中共提供美國人的個資,背後原因可能有三點,包括:Zoom的創始人是中國裔、研發團隊可能在中國、想販售設備到中國,但遭到中共威脅提供客戶資料。
「對Zoom這樣的美國公司來說,都會屈從於中共,更何況是中企,他們肯定更肆無忌憚。」他說:「中共不會向中企索取美國客戶資料?不會要他們安裝後門程式蒐集資料?我很難想像中共不會這樣做。」
林盈達說:「這樣的故事已經聽到太多了,很多漏洞也被抓到,但這卻難以查緝,留後門這件事情很容易,但要抓不見得容易,很多的漏洞難以被抓到。」
林盈達說,行政院資安處曾打算公布中國廠商設備禁用清單,但一直沒有公布出來。外界關注台灣的這份清單,是否類似於美國的實體清單,以美國而言,是直接不允許相關設備在美國販售,等於私人公司也無法使用,「台灣的做法可能不會那麼硬。」
美國嚴格防堵中企 台灣如資安破口
林盈達說,據了解,台灣可能會公布具有嚴重資安疑慮的設備,或是禁止機密性較高的場域使用相關設備,與禁止在公部門內部使用,但民間公司可能不會禁止,而是以勸阻的方式。
「台灣的做法可以再強硬一點。」林盈達說,對於一些危害較大的設備,台灣應該直接比照美國的做法,限制相關設備的進口,這樣企業也無法使用這些設備,而對於危害度較低的裝置,則仍強制政府部門禁止使用。
另外,包括浪潮、華為等遭美國認定有共軍背景的企業,在台灣都設有據點。對此,林盈達認為,台灣的投審會與行政院資安處都該管一管,投審會應該把中資門檻再拉高,「美國都直接做給你看,相比而言,台灣真的管得太鬆。」
林盈達特別提到台灣存在的真中資假外資現象,「這不是現在才有的。」他說,這種中資進來台灣設立分公司,甚至會在台灣偷技術,特別是竹北的科技園區就有許多假外資公司,他們長期在挖角台灣人才,「政府都沒去審查他們。」
林盈達表示,民間已經向政府反映很久,這樣的聲音不是現在才出來的,台灣都沒有用力抓中資,「美國都執行給你看了,而且建立嚴格的投資審查標準,為什麼台灣現在還不做,這對美國而言,台灣是不是成為一個破口?」
浪潮在台灣設據點 董座曾任中共人大
浪潮在台灣設有據點,據維基百科的公開資料,浪潮集團在2015年於台灣成立分支機構,名稱為「數字雲端有限公司」,經查該公司設在新北市板橋。
據104網頁資料,一間名為「Inspur Taiwan_數字雲端」的公司發布徵才廣告,並強調在台員工人數200人;業務涵蓋雲數據中心、大數據服務、商用軟體。該徵才頁面附上的公司網址,即為浪潮官網,隱約透露浪潮持續在台灣進行徵才的狀況。
調查顯示,浪潮總部在濟南,產業包括伺服器、電腦、特種電腦、資訊安全產品、網路、軟體等,產品有雲計算、大數據、關鍵應用主機、人工智慧等,員工人數約3萬人。
此外,據公開資料顯示,浪潮集團董事長兼CEO孫丕恕是中共政治人物、2008年起至2013年擔任全國人大代表。
外界認為,浪潮已被美國國防部認定為具有共軍背景的中企,背後所牽涉的資安、國安風險值得重視。由於浪潮在台灣設有據點,所販售給台廠的相關設備裡是否被植入後門程式,這值得台灣相關研究單位、政府部門予以檢視,否則恐有侵害台灣國安與資安的疑慮。另外,浪潮在台灣設立的分支機構,投審會也應進一步審查其背後的中資結構。
經濟部投審會在去年12月30日發布修正《大陸地區人民來臺投資許可辦法》且正式實施,針對中資審查,將以加嚴版本進行。修法三大特點包括,綜合持股計算法改為分層計算、限制中共黨政軍企業來台投資、增加中資具實質控制力的樣態。
經濟民主連合研究員江旻諺認為,台灣長期面對中資滲透的威脅,目前已知的中資個案,包括:蝦皮、中資旅行社等之外,可能有更多的個案已進到台灣,「只是還沒被揪出來。」他說,政府不能抱著「鴕鳥心態」,「這樣的修正遠遠不夠。」
ZOOM聲明:前員工違規 擅傳個資給中共
Zoom發布聲明指出,正如美國司法部所表明,他們在此事上一直給予他們充分的配合,他們也一直在進行徹底的內部調查。
Zoom發布聲明指出,儘管美國司法部沒有在公開發布投訴之前,與他們分享其事實指控,但公司在調查過程中瞭解到,被起訴的中國部前員工違反了Zoom的政策,其中包括:試圖規避某些內部准入控制。這位前員工採取了行動,導致幾次會議和帳戶被終止,並與中國當局分享或指示分享有限數量的個人使用者數據。
Zoom表示,在現階段的調查中,除了少於十個個人使用者的使用者數據外,認為該前員工或Zoom的任何其他員工,都沒有向中國政府提供非中國使用者的使用者數據。這位前員工還潛在分享了關於紀念天安門廣場事件的會議資訊。
他們澄清,沒有任何跡象表明任何企業數據已分享給中國政府。我們已經以違反公司政策而解雇此員工。在調查完成之前,我們還為其他員工安排了行政假。
Zoom表示,正如美國司法部所明確指出,每一個美國公司,包括:Zoom和我們的同行在中國開展業務時都面臨挑戰。他們已採取行動來表明價值觀。在7月份發布了《政府要求指南》,透過該指南,他們會對任何政府的要求進行仔細審查,並始終將使用者的隱私、保密和安全放在首位。
Zoom表示,他們還巨額投資在平台上,並實施了健全的政策和保障措施,例如:向全球的免費和付費使用者推出了端到端加密功能,並大幅地增強了我們的內部准入控制。他們也已停止在中國銷售直接和線上服務,並在美國、印度和新加坡建立了工程中心。我們將繼續採取積極的行動,以預備和應對不斷發展的數據安全挑戰。
Zoom表示,今年經歷了指數級的增長,每天有超過3億的會議參加者(其中許多是免費的),數值比一年前最大每日參與者超過30倍以上。那時已經從針對企業客戶的通信平台擴展到了為所有人服務的平台。
◇
責任編輯:玉珍