【 資安戰新手法? 海康威視疑「洗產地」再度入侵臺灣! 】
🔥 區間測速遭踢爆採用海康威視產品,嘉瑜要求相關單位全面徹查!
1月20日臉書粉專「Leo, that Taiwanese. 理觀點. 」發文指出,承包我國多處區間測速系統建置案的「東山科技有限公司」,所採用之主機疑似是將中國製低價品貼牌後偽裝成台灣品牌,而攝影機與補光燈則極可能是採用「海康威視」產品,若此事屬實,東山科技不僅是低價買入中國品牌產品從政府標案中牟取暴利,更進一步造成我國公務資料及國民個資,可能遭不當竊取甚至回傳中國,嚴重侵害我國國家資通安全!
由於區間測速系統與國家資通安全兩者皆是嘉瑜長期關注的議題,在得知東山科技涉及使用中國品牌產品後,嘉瑜立即行文至交通部公路總局以及內政部警政署,要求徹查轄下建置的區間測速系統,是否有涉及採用中國製設備的情事,並且要請廠商出示設備製造、進口來源地的相關證明!
🔥 一反常態迅速回覆公文,是事關緊要還是為了護航廠商?
平時嘉瑜調閱部會資料總要花上數日才會收到回覆,公路總局卻罕見地在短短一天之內回文,然而卻只提及公路總局第一區養護工程處與東山科技在萬里隧道的區間測速系統,並且出示該處所採用之攝影機與補光燈採購自台廠的證明,然而嘉瑜比對去年5月所調閱的全台各地建置之區間測速系統資料,赫然發現由公路總局負責建置的尚有:桃園市台61線47K-53K(雙向)、苗栗縣台61線122.6K-115.6K(北上)、苗栗縣台61線122.2K-130.2K(南下)以及台中市台61線148.1K-156.4K(南下)等四處,更巧合的是,這四處的區間測速系統建置廠商,全都是東山科技!
由於公路總局上週受訪時稱:「東山科技所使用的設備分別是向國內廠商以及LTS (美商)採購,並且強調是臺灣商品」,與嘉瑜收到的回文及掌握的資料有相當落差,辦公室同仁便致電公路總局再次確認,沒想到承辦人員僅答覆未於回文中提及的各建置路段,是由公路總局第二區養護工程處所發包採購,卻未能解釋這四處區間測速系統,為何會在公路總局的回文中消失?
同仁再追問公路總局受訪時曾提及LTS(美商)亦是東山科技之設備供應商,而LTS與海康威視有合作關係,區間測速系統是否可能因此使用海康威視設備?承辦人員竟稱他們招標時已要求廠商【聲明】不具資安疑慮,且東山科技確實是向台灣廠商購入設備,但該台廠據傳是向LTS購入設備後再貼牌「洗產地」一事,公路總局在招標過程中並無法查證到那麼詳細,且公路總局今日已經派員到現場確認設備上的廠商名稱均為台廠。
⚠️ LTS與海康威視密切合作,公部門應詳實查證區間測速系統設備供應鏈
行政院早在2019年4月就發布「各機關對危害國家資通安全產品限制使用原則」,要求各機關落實盤點、隔離及汰換有危害資安疑慮之產品,且不僅限於中國製產品,原因就在於中國近年來透過各種方式想滲透我國政府機關及關鍵基礎建設,廠商固然可以主張是在不知情的情況下誤用中國品牌產品,但公路總局作為政府部門,如果連廠商採購、提供的設備是否涉及拿中國產品貼牌偽裝國產品都無法詳實查證,那作為八大關鍵基礎設施之一的交通領域,在資安聯防這塊難道是準備要全面棄守嗎?
而為甚麼東山科技在區間測速系統可能使用LTS生產的設備會引起軒然大波?因為LTS原先就是海康威視在美國的主要代工廠商!到了2017年更是搖身一變成為海康威視在美國的代理商,除了LTS官網上( http://www.ltsecurityinc.com/hikspecial )大辣辣列出海康威視產品外,美國監視器論壇IPVM也有網友爆料近9成的LTS產品都是海康威視製造,並藉由貼牌來規避美國政府將海康威視列入經濟黑名單的禁令,從上述訊息可看出LTS與海康威視有密切合作關係!縱使東山科技採購的並非海康威視產品,只要東山科技所採購的產品來自LTS,就無法排除其對我國所帶來的資安疑慮!
⚠️ 東山科技承包全台近三成交通執法系統標案,相關單位應盡快做出調查報告!
此外,東山科技在人力網站的自介中自稱以取得政府標案工程為導向,並在我國各縣市警察局及政府機關中有3成市占率,服務項目除了區間測速系統外,在雷達測速器、闖紅燈照相機、地磅系統、交控設備等均有涉略,承包了我國政府大量交通執法系統建置案,歷年得標金額均高達數千萬元甚至上億元!
東山科技自述產品原件大多由國外進口,而交通執法系統大量使用攝影機,若區間測速系統使用海康威視產品情事屬實,那麼就是交通部及各縣市警察局失職,在歷年審視投標廠商資格與設備來源地時都沒有善盡調查責任,才會讓中國品牌產品得以伺機進入我國公務機關!進一步考慮到東山科技承包我國交通執法系統建置案件之多,對於我國公務、機敏資料與國人個資影響範圍之廣恐怕無法估計,請公路總局和各縣市警察局不要再推諉塞責,盡快做出調查報告,給予國人一個清楚的說明!嘉瑜後續會繼續跟進此案,若發現有涉及瀆職或官商利益輸送的情事,絕對不會縱放相關人員逍遙法外!
關鍵基礎設施八大領域 在 許毓仁 Facebook 的最讚貼文
【捍衛人民權利又需守護國家安全 --- 督責「資通安全管理法」立法 】
明天資安法逐條審查,我有些話要說。
經過我跟業界幾個月密切的討論,我自己寫文章呼籲,也不斷地跟主管機關反映,我自己還提出相關修正案,目的就是希望行政部門能夠回應民間強大的疑義。
直到昨天,行政院資安處簡宏偉處長到我辦公室來,達成下列共同的看法:
一、最具爭議性的第18條刪除,第21條罰則規定併同刪除
原來最令人感到疑義的第18條,行政部門得逕自派員行政檢查的霸王條文將刪除。未來如果發生資安事件就回歸各自目的事業主關機關直接督導,各部會的組織法原來都已經有相關規定,回歸各部會原本的法令,也讓事權統一。行政院資安處本來就只是擔任各部會資安議題的協調、支援角色,實在沒有必要直接插手,應該讓事權回歸到各事業主管機關的相關管理程序即可。
二、排除條文中有關「地方政府」的部分,讓事權統一回歸到中央主管機關
刪除原來條文中有關於「地方政府」的部分,讓事權統一,不要有多頭馬車的情況。原來這部分擔心的是像捷運這類關鍵設施,權責都是在地方六都各自的捷運局或捷運公司,後來的想法便是統一由交通部來統籌處理,回歸到中央目的事業主管機關的事權統一。
三、第2條「非公務機關」改成「特定非公務機關」。「關鍵基礎設施」將以正面表列的方式明訂,連同稽核人員資格、稽核辦法,都將召開公聽會,另外以條例或辦法的方式明確訂定。
未來資安處預計將公布1個細則、4個辦法,針對許多執行細節,如關鍵基礎設施將如何明確正面表列?現場稽核要如何進行?稽核人員的資格與成員身分?還有很多執行的細節都需要有更明確的訂定。這部分行政院資安處承諾會召開多場公聽會,並且邀請專家學者及業界代表發聲,我也具體承諾會持續跟進並且緊密關注這部分的發展。
針對關鍵基礎設施的認定以及相關程序,我認為一定不可以籠統而含混不清楚,事實上目前的八大關鍵基礎設施的定義都還太概略性,也難怪大家會恐慌。我認為關鍵基礎設施認定的基本原則應該是「Single Point of Failure」(單點故障,全面癱瘓)。應該列管的是這一類關鍵設施,因此也不會是整個公司。例如中華電信、證交所,這些公司都很重要,但應該列管的是裡面「單一故障,就足以全面癱瘓」的關鍵設施,而這一類關鍵設施的設定程序應該有個明確且嚴謹的認定過程;但是關鍵基礎設施的清單應該保密,並且應該接受定期的檢核。這部分也不應該只有行政單位單方面主導,民意代表也應該參與,最少應該要有督導的權力(就好像我們審查機密預算一樣,可督導,但是具秘密性)。
第四、是不是不應該只有懲罰,也應該有獎勵或保護的措施呢?否則只有懲罰沒有通報的單位(不管是公家或私人),積極通報的單位是不是應該也要有些相關的獎勵或更積極的協助?這部分簡處長承諾會更積極地協助相關的單位,並且會協助其保密(不要因為擔心影響聲譽就不通報),並且提供更多跨部會的支援與協助。
第五、其實這議題終究還是需要回歸到產業面來解決,現階段資安領域真的是求才若渴,我們不僅是需要資安產業,我們更需要產業「資安化」,政府應該協助導引民間企業意識到資安的重要性,並且努力打造資安產業,培養更多的人才,教育部、經濟部、國發會、國防部都應該跨部會合作建立人才培養的機制與管道。
我同意「資安即國安」,但是施政的過程應該兼顧多方的意見與權益,不可以太粗魯或霸道,甚至有侵害人民權利的情事發生。這一個議題我承諾,我會持續地關注,守護大家的權利,督責立法,責無旁貸。
#資安即國安但不應該粗魯或霸道
#資安法要兼顧國安跟人民權益
#我會持續監督
關鍵基礎設施八大領域 在 Analyser - 八大關鍵基礎設施之八大領域包含:能源、水資源 的美食出口停車場
八大關鍵基礎設施之八大領域包含:能源、水資源、通訊傳播、交通、銀行與金融、緊急救援與醫院、中央與地方政府機關及高科技園區,主管機關分別由經濟部、NCC、交通 ... ... <看更多>