工研院前主任杜紫宸表示何必禁止大陸資通訊產品,認為應要先有科學證明大陸手機內建有木馬程式。成大李忠憲教授則指出,APT(進階持續性威脅)攻擊可以潛伏後透過後門,將特定目標資料傳送到中國資料庫,並舉例CEO等級的朋友購買中國製的資通訊設備,將家裡的語音和影像往中國的資料庫傳送。前行政院長張善政在臉書指出,政府禁用華為是假議題、政治性宣示,資安政策紊亂被政治干預。為何各國家在抵制華為中國貨?到底中國資通訊產品有沒有問題?會不會留後門將民眾的資料傳回中國?
就筆者所知,中國製資通訊設備為加速產品開發過程,大量使用開源軟體或晶片廠商提供的通用開發模組,為迅速實現產品功能而簡化安全機制,即便製造商本身未必使用惡意程式植入後門,但產品卻可能輕易成為駭客的跳板工具。但面對資安議題無分大意或惡意,資安檢測是採用品質管理的觀點,通訊設備產品本身必須先定義對資安設計的機制,再進行資安檢測確認其設計的有效性,故沒有資安設計的通訊設備,僅能做評估弱點或漏洞的存在,沒有進行資安檢測的必要及價值。但是很遺憾的,近年來資通訊設備產品的生命週期不斷縮減,進行資安設計變成一種奢侈又多餘的工作,不僅沒能帶給產品新功能,又會增加研發人力,使用者嫌棄安全設計不便利,產品又無法增加附加價值。
就目前已知資訊顯示,華為的基地台或手機設備,被揭露的漏洞並無直接證據證明潛伏後門竊取個資,卻仍頻頻遭受各國抵制,一方面被美國政府干預,另一方面是各國政府的風險控管,對有相互敵意的國家,不論經濟或政治要降低可能的風險。各國因為有WTO(世界貿易組織)協議,不能夠光明正大拒絕中國產品,所以才利用資安名義做掛羊頭賣狗肉去抵制中國貨。美國FTC(聯邦貿易委員會)也同樣利用資安議題,抵制臺灣多家設備製造業者所生產的資通訊產品,要求長達20年監管,卻用較寬鬆的標準看待美國本地業者。
資安檢測是屬於鑑識科學,不能夠用獵巫方式解讀,看待資安要回歸可被接受的風險控管概念。華為將資料回傳中國,Google、Facebook 也把資料帶回美國,不能代表說這樣就是不安全,使用者要評估自己可以承受的風險,再決定要購買便宜貨或者購買產品功能被閹割卻又昂貴的版本,因為由資安觀點來說,產品本身的機密性、完整性、可用性,往往是相互衝突的,在資安的世界從來沒有便宜又大碗這回事。
*作者為工程師