羅馬尼亞軍方於今年1月16日購買的中國製造的監控設備,看似平淡無奇的舉動可能具有深遠的國家安全方面的影響。
一名羅馬尼亞國防部員工以不到1000美元的價格,為位於南部寧靜村莊德韋塞盧的軍事基地的安全網路訂購了一個8端口交換機和兩台監視攝影機。該基地是北約的陸基宙斯盾飛彈防禦系統的所在地。
這些攝影機是由海康威視製造的,這是一家部分國有的中國公司,據稱與中國軍方有聯繫,其設備因數據和安全漏洞而被美國和英國列入黑名單。
儘管目前沒有證據表明德韋塞盧的攝影機導致了任何違規行為,但自由歐洲/解放電台羅馬尼亞語部幾個月的調查顯示,由海康威視和大華製造的監視設備(大華是另一家部分由中國政府持有的公司)被至少28個軍事設施在羅馬尼亞使用。這些設備也被數以百計其他與國家安全有關的公共機構使用,包括海岸防衛隊和情報機構運作的地點等等。
與美國、英國或其他北約夥伴不同,羅馬尼亞沒有使用海康威視或大華設備的禁令。使用這個品牌設備的羅馬尼亞國防部和其他國家安全機構表示,這些設備安裝在沒有雲端儲存或網路連線的閉路系統,並遵循嚴格的安全規定。
然而,專家表示,在羅馬尼亞使用這些設備引發了有關國家安全和敏感資訊可能洩露的關鍵問題。韌體中的漏洞可能允許國家和非國家組織進行遠端存取、控制攝影機、攔截資料以及進行網路攻擊。儘管這些擔憂並非只有海康威視和大華才有,但這兩家公司儲存資料、它們與中國政府有關係,以及不斷增長的安全漏洞的範圍等問題使這兩家公司的風險更高。
康納·希利(Conor Healy)是監控行業研究公司IPVM的政府研究主管,他告訴自由歐洲/解放電台記者:”即使某些東西沒有連接到互聯網,仍然存在安全風險。有一些閉路攝影機系統通過連接到互聯網的其他系統遭到黑客攻擊的例子。”
海康威視和大華是全球領先的閉路電視和監控系統供應商,其產品在歐洲仍然很受歡迎。歐盟沒有針對他們的限制,但歐洲議會已將該公司製造的設備從其地方移除。兩家公司都否認了有關其與中國政府的聯繫導致安全風險的指控,並表示他們定期修補任何可能導致漏洞的故障。
”網路戰爭已經開始“:中國的數位絲路引發高科技競爭
大華未對自由歐洲/解放電台的置評請求做出回應,但海康威視表示,其大部分設備是透過第三方分銷商銷售的,公司在設備售出給客戶後無法訪問任何攝像頭,而且公司有“一套強大的流程,以快速解決疑似漏洞問題。”
一位海康威視發言人告訴自由歐洲/解放電台:“海康威視攝影機符合羅馬尼亞和歐盟適用的法律法規,並遵守嚴格的安全要求。”
在羅馬尼亞沒有專門禁止購買海康威視或大華設備的規定,儘管批評羅馬尼亞安全部門使用這些公司產品的羅馬尼亞議會議員卡塔林·特尼塔(Catalin Tenita)等政界人士表示禁令的法律依據已經存在,但尚未充分執行。
特尼塔告訴自由歐洲/解放電台,現行法律可能“有可能取消不符合既定安全標準的報價”,但政府決定不將其應用於海康威視和大華,儘管美國等合作夥伴已經有了先例。
對德維塞盧的關注
羅馬尼亞國防部表示,由於這些設備安裝在未連接網路的封閉系統上,因此無法從外部滲透,只能在安全的內部網路上運作。
國防部發言人告訴自由歐洲/解放電台:“在軍事單位安裝的所有視頻監控系統,包括硬體部分,包括攝影機、網路和儲存設備,以及操作它們的軟體應用程序,都要經過嚴格的測試、評估和批准程序。”
由美國負責導彈防禦系統的部隊管理的德維塞盧海軍設施的發言人告訴自由歐洲,評論羅馬尼亞的軍事採購是“不適當的”,但他們“致力於與羅馬尼亞同行保持強大的合作關係”,並將“繼續共同努力支持和促進該地區的安全以及北約的集體防禦。”
針對有關在羅馬尼亞基地使用海康威視和大華設備的擔憂,一名北約官員告訴自由歐洲/解放電台,北約採取了「強有力的措施來確保我們在整個歐洲大西洋地區的人員和設施的安全」。
這位官員表示:“我們不提供有關安全基礎設施的具體情況,但北約繼續依靠盟友確保軍事場所使用的產品不會對安全構成潛在風險。”
北約並未對使用第三國設備發布任何正式禁令,但北約秘書長延斯·斯托爾滕貝格在2023年9月警告不要在關鍵基礎設施中使用中國技術設備。
他說:“我們已經看到了依賴俄羅斯提供能源供應的結果。我們不應該重蹈覆轍,並依賴中國為我們的關鍵網絡提供技術。”
儘管羅馬尼亞國防部堅稱將設備與網路斷開連接會防止任何安全風險,但類似的情況足以促使美國對海康威視實施禁令。
由於海康威視在2018年初首次受到美國強烈的公眾關注,在密蘇裡州的一個軍事基地採取預防措施,移除了由該公司製造的封閉網路上的攝影機。
一年後,美國議員將海康威視列入製裁名單,因為對其在開發監視和追蹤中國新疆地區維吾爾族和其他少數民族特殊技術方面的安全擔憂和人權問題,有效地阻止美國公司出售其產品。
立陶宛國防部於2021 年對海康威視和大華進行了審查,報告了海康威視固件中的近100 個漏洞,並得出結論,該設備構成「網路攻擊…或惡意程式碼插入的可能性」。
報告的結論是,大華的設備並未發現具體的“直接網路安全漏洞”,但測試確實表明該公司的攝影機定期向包括中國在內的五個不同國家的伺服器發送資料包。
IPVM的專家希利表示,儘管將攝影機放在封閉網路上可能提供額外的安全性,但在海康威視和大華中記錄的「廣泛漏洞清單」使它們更容易受到有組織犯罪團體、非國家行為者和與對手政府有關機構的攻擊。
他指出,與互聯網斷開連接的攝像頭仍然可以被訪問,正如聯邦調查局1月份發布的一份報告所示,該報告稱已關閉了一個名為“伏特颱風”(Volt Typhoon)的中國支持的黑客組織。該組織的目標是關鍵基礎設施,根據美國網路安全和基礎設施安全局發布的一份報告,該組織能夠透過線上入侵電腦作業系統,然後滲透到離線網路來存取封閉的攝影機系統。
海康威視和大華在羅馬尼亞的傳播
羅馬尼亞是歐盟海康威視設備最大的市場,但海康威視和大華均未直接參與政府採購。而是由當地保全公司充當中間商,取得這些技術並將其重新銷售給羅馬尼亞的政府機構。
自由歐洲/解放電台的調查顯示,海康威視和大華的設備在羅馬尼亞警察、緊急情況總檢察長、邊境警察以及負責高風險和專業執法職責的國家憲兵中廣泛使用,覆蓋國家和地方各個層面。
自由歐洲/解放電台記者看到的採購記錄還顯示,海康威視和大華設備在羅馬尼亞各地的法院、市政廳、大學以及布加勒斯特國民議會中隨處可見。
羅馬尼亞警察、緊急情況總檢察長、邊境警察和國家憲兵都告訴自由歐洲/解放電台,他們的海康威視和大華設備是根據國家公共採購法律合法購買的,並且「完全符合所需的技術規格」。
這些機構補充說,這兩家中國公司的設備未連接到由海康威視或大華提供的互聯網、電腦程式和雲端網路。
自由歐洲/解放電台也發現,羅馬尼亞情報機構在位於靠近與摩爾多瓦接壤邊界的東北城市雅西的總部也使用了海康威視和大華的設備。
羅馬尼亞情報機構的發言人告訴自由歐洲/解放電台:"我們機構的視訊監控系統是一個更大系統的一部分,它受到保護,安全地部署在封閉網路上,並且永遠受到技術風險分析的監控,以確保最佳的運營安全,並防止任何存儲數據的風險。”
專門從事視訊監控系統安全的羅馬尼亞公司Softrust Vision Analytics 的視訊系統專家兼安全系統工程師馬里安·格赫內斯庫(Marian Ghenescu)告訴自由歐洲/解放電台,保持網路離線並定期進行網路安全維護可以限制任何可能的漏洞。他說,在羅馬尼亞,大衆經常選擇海康威視和大華,因為對於注重預算的當地機構來說,它們是最實惠的選擇,而且可能不會總是按照最高安全等級設定安裝。
網路安全專家、顧問公司Pro Defense的創辦人(亞歷克桑德魯·安格魯斯(Alexandru Anghelus)告訴自由歐洲/解放電台,所有監控設備都存在安全風險,而不僅僅是中國品牌。他說,海康威視和大華的漏洞歷史可能值得進一步審查,並指出海康威視2021年發生的安全故障據信影響了全球超過一億台攝影機。
同時,一些羅馬尼亞議員呼籲進行進一步的調查。
參議員阿德里安·特里凡(Adrian Trifan)是一位擔任通訊、資訊科技和人工智能委員會副主席的,他希望從議會中移除這種攝像頭,並想要知道為什麼海康威視和大華的設備在國家安全站點被如此廣泛使用。
“這是一個嚴重的情況,相關機構應該立即澄清,”他告訴自由歐洲/解放電台,“而且仍然需要澄清這些採購是如何通過羅馬尼亞最高國防委員會篩選流程的。”
布加勒斯特 —
論壇