首頁 要聞 綜合

解放軍中企在台灣設據點 成全球資安破口

5G時代的到來,民眾對於網路的依賴持續增加,也突顯資安防範的重要性。( STEFAN WERMUTH/AFP via Getty Images)
5G時代的到來,民眾對於網路的依賴持續增加,也突顯資安防範的重要性。( STEFAN WERMUTH/AFP via Getty Images)

文/記者張原彰
美國政府持續制裁中企,美國國防部在6月底時曾指出,中國伺服器龍頭「浪潮」(Inspur)有共軍背景,並在日前對其展開制裁。浪潮在臺灣也設有據點,外界擔憂,浪潮製造的相關設備,恐已蔓延至臺灣的企業界。資安專家林盈達表示,中資設備被植入後門程式並竊取個資很容易,然而投審會的防範力道不足,使得臺灣有很多假外資、真中資的企業,「美國嚴格防堵中企,也都做給臺灣看了,但臺灣卻不跟著做,這對美國而言,形同一道破口」。

繼華為、TikToK、微信禁令後,川普政府持續制裁中企,並在去年11月12日頒布一道禁令,禁止美國人投資與中國軍方有關聯的31家中企,其中包括:華為、海康威視、中國移動、中國電信等,皆是牽涉資通訊設備的中企。而這份制裁名單,還包括中國伺服器龍頭浪潮。

美國國防部早在6月24日時,即公開認定中共國企浪潮具有共軍背景,指出該公司是「在美國運作的共產中國軍方企業」。隨即,傳出浪潮最大的晶片供應商英特爾(Intel),在7月初暫停供貨給浪潮的消息。

外界解讀,如同手機製造商「華為」般,主要製造伺服器的「浪潮」遭美方認定具有共軍背景,恐存在嚴重資安疑慮,因而祭出科技制裁。

中國設備留後門 成中共蒐個資渠道

疫情使企業調整成線上作業的工作模式,加上5G時代的到來,民眾對於網路的依賴持續增加,也突顯資安防範的重要性,交通大學資訊工程學系教授陳志成說,以資訊的角度而言,常遇到的資安問題有分兩種,一種是遭駭客的攻擊,直接竊取資料。另一種是資料遭到攔截,包含伺服器在內的所有設備,只要牽涉資料的發送、儲存,有心人士都可抓取想要的資料,「這是非常簡單的事情。」

紅色資通訊設備、伺服器具有資安疑慮,已是各界的普遍認知。他說,更何況是使用具有疑慮的伺服器,所有資料都會通過它,想直接從裝置內部拷貝資料,這不是很困難的事情,「最簡單的方法,就是不要使用這類設備,用了就有被竊取資料的風險。」

對於中資設備具有的資安疑慮,交大資訊工程系特聘教授林盈達解釋,大部分都是擔憂設備端出問題,這可能在出貨時即已植入後門程式,或是先預留後門漏洞,等事後再植入後門程式。有心人士通過這些後門程式監控該設備的使用過程,或是蒐集客戶的資料,再回傳給該設備開發或製造商,「包括華為在內等中國設備,大家都擔心它留有後門。」

特別是,林盈達說:「中共的法令要求這些資通訊設備廠商,必須向中共提供所蒐集到的資料,迫使中企必須協助中共監控客戶。」

美企向中共繳個資 中企更肆無忌憚

林盈達以視訊會議軟體Zoom舉例,指出Zoom近期遭美國政府控告,提供美國客戶的資料給中共,而美國聯邦檢察官掌握Zoom高層人士與中共間的E-mail交涉紀錄。

他說,Zoom的創始人是華裔美國人,同時也是一家在美國登記的公司,之所以向中共提供美國人的個資,背後原因可能有三點,包括:Zoom的創始人是中國裔、研發團隊可能在中國、想販售設備到中國,但遭到中共威脅提供客戶資料。

「對Zoom這樣的美國公司來說,都會屈從於中共,更何況是中企,他們肯定更肆無忌憚。」他說:「中共不會向中企索取美國客戶資料?不會要他們安裝後門程式蒐集資料?我很難想像中共不會這樣做。」

林盈達說:「這樣的故事已經聽到太多了,很多漏洞也被抓到,但這卻難以查緝,留後門這件事情很容易,但要抓不見得容易,很多的漏洞難以被抓到。」

林盈達說,行政院資安處曾打算公布中國廠商設備禁用清單,但一直沒有公布出來。外界關注臺灣的這份清單,是否類似於美國的實體清單,以美國而言,是直接不允許相關設備在美國販售,等於私人公司也無法使用,「臺灣的做法可能不會那麼硬。」

美國嚴格防堵中企 臺灣如資安破口

林盈達說,據了解,臺灣可能會公布具有嚴重資安疑慮的設備,或是禁止機密性較高的場域使用相關設備,與禁止在公部門內部使用,但民間公司可能不會禁止,而是以勸阻的方式。

「臺灣的做法可以再強硬一點。」林盈達說,對於一些危害較大的設備,臺灣應該直接比照美國的做法,限制相關設備的進口,這樣企業也無法使用這些設備,而對於危害度較低的裝置,則仍強制政府部門禁止使用。

另外,包括浪潮、華為等遭美國認定有共軍背景的企業,在臺灣都設有據點。對此,林盈達認為,臺灣的投審會與行政院資安處都該管一管,投審會應該把中資門檻再拉高,「美國都直接做給你看,相比而言,臺灣真的管得太鬆。」

林盈達特別提到臺灣存在的真中資假外資現象,「這不是現在才有的。」他說,這種中資進來臺灣設立分公司,甚至會在臺灣偷技術,特別是竹北的科技園區就有許多假外資公司,他們長期在挖角臺灣人才,「政府都沒去審查他們。」

林盈達表示,民間已經向政府反映很久,這樣的聲音不是現在才出來的,臺灣都沒有用力抓中資,「美國都執行給你看了,而且建立嚴格的投資審查標準,為什麼臺灣現在還不做,這對美國而言,臺灣是不是成為一個破口?」

浪潮在臺灣設據點 董座曾任中共人大

浪潮在臺灣設有據點,據維基百科的公開資料,浪潮集團在2015年於臺灣成立分支機構,名稱為「數字雲端有限公司」,經查該公司設在新北市板橋。

據104網頁資料,一間名為「Inspur Taiwan_數字雲端」的公司發布徵才廣告,並強調在臺員工人數200人;業務涵蓋雲數據中心、大數據服務、商用軟體。該徵才頁面附上的公司網址,即為浪潮官網,隱約透露浪潮持續在臺灣進行徵才的狀況。

調查顯示,浪潮總部在濟南,產業包括伺服器、電腦、特種電腦、資訊安全產品、網路、軟體等,產品有雲計算、大數據、關鍵應用主機、人工智慧等,員工人數約3萬人。

此外,據公開資料顯示,浪潮集團董事長兼執行長孫丕恕是中共政治人物、2008年起至2013年擔任全國人大代表。

外界認為,浪潮已被美國國防部認定為具有共軍背景的中企,背後所牽涉的資安、國安風險值得重視。由於浪潮在臺灣設有據點,所販售給臺廠的相關設備裡是否被植入後門程式,這值得臺灣相關研究單位、政府部門予以檢視,否則恐有侵害臺灣國安與資安的疑慮。另外,浪潮在臺灣設立的分支機構,投審會也應進一步審查其背後的中資結構。

經濟部投審會在去年12月30日發布修正《大陸地區人民來臺投資許可辦法》且正式實施,針對中資審查,將以加嚴版本進行。修法三大特點包括,綜合持股計算法改為分層計算、限制中共黨政軍企業來臺投資、增加中資具實質控制力的樣態。

經濟民主連合研究員江旻諺認為,臺灣長期面對中資滲透的威脅,目前已知的中資個案,包括:蝦皮、中資旅行社等之外,可能有更多的個案已進到臺灣,「只是還沒被揪出來。」他說,政府不能抱著「鴕鳥心態」,「這樣的修正遠遠不夠。」◇