中國製造的電子產品再次於歐洲引發國安危機。自由歐洲電台(RFE/RL)指出,東歐的羅馬尼亞軍方購買便宜的中國品牌海康威視(Hikvision)、大華(Dahua)監視器,並裝置在該國超過 28 處軍事設施中。
不同於美國、英國或其他北約國家,羅馬尼亞並沒有禁止這兩個有資安疑慮的中國品牌進入該國政府單位。海康威視和大華都沒有直接參與政府公開招標,而是藉由中間商,向羅馬尼亞的政府機構提供產品。目前,羅馬尼亞已成為海康威視在歐盟的最大市場。
- 據外媒報導,目前雖然沒有任何跡象顯示已造成安全漏洞,但目前該國數百間的政府、國安機構正在使用這些品牌,其中包括情報部門、海岸防衛隊等。
圖/变态辣椒RebelPepper
貪便宜恐鑄成大錯 閉路系統並不能防駭客入侵
根據《自由歐洲》的報導,羅馬尼亞國防部以不到 1 千美元的預算,為該國軍事基地中的安全網路訂購中製網路交換器及監視器,然而,該基地中竟是北約神盾飛彈防禦系統(NATO’s Aegis Ashore)的基地。
- 羅馬尼亞政府的國安單位表示,該國採用閉路系統,沒有使用雲端或是網路連接,並嚴格遵循安全協議。
然而,資安專家指出,羅馬尼亞使用這些設備可能洩露國安重大資訊,避開閉路系統駭入設備的例子十分常見。如果設備韌體中存在漏洞,則可以讓駭客於遠端連結、控制攝影機、攔截數據並進行網路攻擊。根據海康威視、大華這兩間公司儲存數據的方式,考量其與北京的關係,以及不斷增加的安全漏洞等,都讓選擇中國品牌的使用者面臨更高的風險。
- 面對政府高風險的設備採購,羅馬尼亞議會中也有批評聲浪。該國議員戴尼察(Catalin Tenita)表示,儘管政府制定了禁止條款,但尚未完全執行。而現行法律還可以允許有資安風險的產品進入政府機關。
多項資安漏洞 定期向中國發送資訊
儘管羅馬尼亞再三保證使用海康威視、大華攝影機都是經過嚴格的測試及評估,但美軍負責飛彈系統的發言人仍表示,羅馬尼亞的軍購是「不恰當的」。而北約官員也表示,北約組織內部會採取有效的措施,確保軍事基地中的產品不會構成安全風險。
- 2021 年,立陶宛國防部針對海康威視、大華進行資安檢查,並對海康威視的韌體提出近百個漏洞,認為這些設備「可能遭到網路攻擊,或被插入惡意程式。」
- 另一個大華公司則沒有發現直接的網路安全漏洞,但測試顯示,該公司的攝影機定期向中國及其他國家發送數據。
資訊安全公司 IPVM 表示,由於海康威視和大華已有多項資安漏洞的前科,讓這些公司更容易受到組織犯罪集團、國家級駭客組織的攻擊。
