天眼監視器全台現蹤 學者:威脅國安應限制
針對全台從南到北陸續發現中國天眼海康威視、浙江大華監視器,台灣戰略模擬學會研究員何澄輝表示,海康威視、大華都涉及人權侵害嫌疑,協助中國在新疆設天眼系統或中國各地設辨識系統,造成許多人權侵害。政府對有資安疑慮、威脅國安的中國產品,應該加以限制。
何澄輝指出,從美中貿易戰的脈絡來看,中國利用國家力量竊取機密,主要是透過基礎設施的介入,獲取關鍵目標的資訊,甚至進一步攫取控制權,造成一國公安危險。海康威視是美國指明有疑慮的中國企業,有長期協助極權政府協打壓人權的紀錄及個資洩漏風險。大華也是被美國商務部列管、有疑慮的企業。
台電、中油盤點出超過千支海康威視、浙江大華監視器,已於6月拆除。何澄輝表示,公部門裝設監視器應該嚴加管控,排除威脅國安的中國產品。政府機關使用預算購置這些設備,而預算來自人民稅金,讓這些龐大、侵害人權的組織取得標案、獲利,政府沒有必要用公共稅金輔助它。
何澄輝說,海康威視監視器、通訊系統等,也涉及跟台灣產業競爭戰略上的問題。台灣有很多監視器系統公司,更需要獲得公共資源挹注或參與公共投資,特別是國家契約不是一般人民契約,政府應該加以限制,排除有人權疑慮及對產業競爭有害的企業參加。
海康威視監視器 北中南都有
從7至9月在高雄市議會及新興區公所、台中台灣大道沿線地下道、台中市34所學校、台灣大學綜合大樓教室、中山大學等,陸續發現海康威視監視器,是否對民眾、學生、校園安全構成威脅?何澄輝表示,很多校方辯稱資訊公布得太晚,之前並沒有禁止採用且沒有連網,這種說法是託辭站不住腳。
何澄輝指出,目前沒有上網、連網,怎知事後會不會上網?或資訊處理人員會不會為了貪圖一時方便或管理方便,連網進行遠端監控?一但連網,漏洞就會被像海康威視等企業所使用。已經裝的監視器,應該限期改善、更換設備、重新制定管理規則等,積極解決問題。
陸製包裝成台製 組裝監視器安全嗎?
合作金庫7月更換新的監視器,被抓包監控主機與安控攝影機部分零組件是具有人臉辨識功能的大華(也參與)代工,成品在台灣組裝,且監控軟體是拿大華提供國際大廠的OEM公版軟體修改,刪除人流統計、人臉辨識等功能,外界質疑這樣的做法安全嗎?
何澄輝表示,雖然是用組裝的方式,其實是一種規避行為,同時透過這種方式削價競爭,破壞產業的合理發展與利潤空間,悄悄侵害產業界利益。政府必須拿出一些作為,未來制訂新的管控規範要更明確,甚至必須要有專責機構監控或管理產業安全或工業安全問題。
何澄輝提及,過去對資訊、隱私安全並不重視,但現在由於大數據、網路分析、人工智慧(AI)分析發展,讓數據變得非常有價值,也非常危險,一旦洩漏或落入有心人士、特別是邪惡政權或極權政府手上,就會變成非常致命的威脅,不能再當作單純資料洩漏,而是網路空間中人格存立的風險和威脅的升高。
陸製監視器 資訊回傳大陸風險
時代力量黨團主任、高雄黨部主委陳惠敏在臉書發文指出,目前遠端監控,需要網路固定IP傳送,一般監視主機均設工程用密碼,有直接使用主機最大權限,但無法遠端使用。海康威視發展的是P2P直接連線,宣稱只要知道機碼或轉址掃QR CODE即可直接連線。
一開始發生的入侵,常會被誤判是初始密碼未更改所致,但由網路所開的通訊埠可發現,許多遠程通訊或呼叫的PORT,是被強制開啟的,這就是存在的風險。先前國外網友測試過一些奇怪的網路資料流,都發現海康威視往上海、北京、杭州回傳資料,突顯那幾個通訊埠無需密碼即可通訊。
陳惠敏表示,網路沒有絕對安全,但資通安全涉及國安、校園安全、商業機密等,本來就應該排除可能的危險。一般看到的是海康威視攝影機外表,但風險最大的是監視錄影主機(DVR、NVR),才是控制所有網路錄影、人臉辨識的關鍵。此外,許多目前的監視器主機都運用海思的控制晶片,海思是華為旗下產品,風險更高。