IT 產品有後門?中國政府為國安把關,台灣自由選用雲端服務
暨今(2014)年5月Windows 8被大陸中央政府禁止採購之後,日前又傳出中國公安部發布通知禁止採購與使用賽門鐵克DLP,理由是內藏竊密後門與漏洞,並進一步呼籲改用中國國產軟體。大陸政府對於涉及國安與公共利益的系統所採用的技術已制訂安全審查機制,而台灣卻仍各機關各自決定,無一套標準,相當民主自由。
媒體報導之後,中國賽門鐵克隨之發表聲明,表示該產品絕無後門,且其DLP產品於2011年已取得產品銷售許可證。根據熟悉DLP的業界人士指出,DLP產品中應該沒有任何程式會將資料回傳原廠,亦不會有錯誤通報功能的程式。不論如何,可以確定的是美國IT產品在中國市場遇到了極大的阻礙。根據大陸媒體報導,在5月下旬中國國家互聯網信息辦公室亦規定凡涉及國家安全和公共利益的系统所使用的信息技術產品和服務,都將進行安全審查,而這些措施也都有利於中國國產廠商。
反觀台灣在上(6)個月傳出環保署導入Gmail系統做為公務使用,引起專家學者對於國安外洩的隱憂,儘管環保署回應表示,在合約中已要求承商需盡保密義務,且對機密文件另訂有管控流程。但兩相比較之下,台灣政府對於外商IT產品/雲端服務相對地「公平、公正、公開」。
對於公務機關採用Gmail服務,某政府機關資訊長A先生直言此舉十分不妥。他指出,存在Google雲端服務裡的資料擺在哪裡沒人知道,同一份資料會複製三份,且在台灣沒有司法管轄權,資料即使被拿走也不能怎樣。除了Gmail之外,A先生提醒,伺服器存放在國外的Line也更是近期公務機關應慎防資料外洩的管道。
本土Webmail廠商網擎資訊執行長廖長健也強調司法管轄權的問題,一旦有國土安全議題或相關訴訟事件發生時,國外雲端服務供應商勢必會遵循該國法令要求,而調閱資料,客戶可能完全不知情,或者也無能阻止,這等於是將管理權交給別人。再加上,一旦發生資安事件,雲端服務供應商能否配合提供log作為調查?儘管可以在合約上要求,但在實務技術層面可能會有難度。因此,凡是與民眾福祉相關的公務機關或金融單位都應審慎評估採用此類服務的影響。
對此,掌管金融機構的金管會對於金融業採取雲端服務就有嚴格要求,由於銀行存有民眾帳戶、存款等重要資料,因此規定金融業的雲端服務供應商資料中心必須設立在台灣。廖長健進一步指出,網擎的Web mail雲端服務亦有日本政府採用,是因為網擎在日本也直接設立資料中心,且維運人員也是日籍工程師,符合日本法規。
臺灣網路防護協會樊國楨教授也表示,政府機關資訊系統委外的政策應謹慎考量國際法相關規定,根據北大西洋公約組織邀各國專家制訂的塔林手冊(Tallinn Manual on the International Law Applicable to Cyber Warfare),已使用數位基礎設施(Cyber Infrastructure)的名稱將關鍵基礎設施列為國家主權標的中,然而Gmail此類雲端郵件服務在戰爭時的國家主權卻可能不屬於我國。再加上此類郵件服務不屬於核電廠等禁止發動「資訊戰」之CI,卻是APT攻擊常見的標的,因此政府將電子郵件系統委外的資訊政策應該再審慎研議。
除了司法管轄權、國家安全/國家主權等議題之外,站在產業發展的角度,A先生認為扶植廠商有其必要,尤其是有資安國安疑慮的產品應該以國產為優先,例如email或手機。他認為,政府應該出來制訂一套統一的採購標準,哪些是採購國產產品為宜,哪些不受限制。而對於外國產品,也不應獨排中國,不論中國或美國都應一視同仁。
轉載 不及格網管