雄風三型反艦飛彈法新社圖片
台灣《鏡周刊》報導,台灣的雄三飛彈重要零組件被轉送到中國山東維修,機敏數據恐外泄中國。研發雄三飛彈的台灣中科院表示,雄三零組件被瑞士原廠商送去山東的維修廠維修後送回,經確認並沒有遭植入惡意程式,沒有資安泄密的疑慮。
台灣《鏡周刊》4日披露接獲爆料,指由國家中山科學研究院研發、被喻為「航母殺手」的雄三飛彈,其定位鎖敵的經緯儀,竟被輾轉送至中國山東維修,若相關數據外泄,恐造成台灣飛彈陣地曝光。
《鏡周刊》指出,飛彈尋標器偵測到信號後能快速整合數據,迅速精準擊中目標,其中的經緯儀是飛彈以2.5倍音速飛行,能夠持續定位的重要儀器。此次因兩座故障送修,爆發國安漏洞疑雲。
台灣中科院4日發新聞稿回應指出,經緯儀是中科院生產組裝線上量測飛彈彈體、發射箱、發射架等物件所使用的光學校正設備,並不是控制雄三飛彈持續定位的零組件。中科院向外商瑞士萊卡(Leica)公司採購,因部分設備瑕疵,在保固期間卸除儀器內相關儲存記憶卡後,要求台灣代理商送瑞士原廠檢修。
中科院:瑞士原廠逕送中國維修無資安泄密疑慮
中科院指出,修復送回後,中科院主動發現進口報單上是由山東青島流亭機場出口。代理商回復,原廠商告知因地緣關係,送往山東的亞洲維修中心處理。經中科院資安鑑定,確認沒有遭植入惡意程式,無資安泄密疑慮。
台灣海軍海鋒大隊發射陸基型雄三飛彈。(台灣國防部提供)
《鏡周刊》另報導,台灣國防部為防止遭滲透、突襲與破壞機敏軍事設施,斥資百億委由中科院建置「重要防護營區智能警監系統」,在資通電軍、電展室等重要防護營區進行施作,範圍擴及陸、海、空軍及後備、憲兵、國防大學等全台共284處單位,讓軍方能透過雲端伺服器即時監控營區狀況。但其中「球型」監視器竟含有中國的晶片及零組件。
《鏡周刊》接獲爆料質疑,台灣軍方明文規定不得使用任何中國制的設備,這批監視器卻早已被裝設在大直雙溪營區內外,還是重要的資通電軍隊部,令人擔憂台灣軍方重要情資是否早已外泄?嚴重衝擊國安?
中科院指出,球型監視器廠牌為瑞典AXIS,生產地瑞典,符合採購規定。經拆機檢查,各項關鍵零組件模組的晶片、記憶體等均非中國大陸製品,惟電源訊號測試電路板為中國製品,屬被動元件,非屬關鍵零組件不得為中國製品禁用範疇,且無涉及國安、資安或泄密疑慮。
資安專家:合約應載明生產製造維修都禁涉中國
在資安公司擔任顧問、不願具名的張先生接受自由亞洲電台採訪表示,中國在過去三十年是世界工廠,很多西方國家公司會在中國設分公司或亞洲維修中心,不會只有台灣發生這種問題。
張先生說,政府若要嚴格把關,未來各單位尤其涉及重要機敏資料應在採購發包時的合約上,明確規定相關設備生產、製造、維修,都不得涉及任何在中國境內的中國分公司,只能回母公司及母公司所在中國以外的分公司處理。包含維修、校正驗正及運輸路途等。
張先生舉例,台灣很多政府機構使用美商戴爾電腦,戴爾全亞洲最大貨倉在廈門,未來就必須規定不得在中國境內出貨、維修等,只能改去離台灣第二接近的戴爾馬來西亞檳城分公司。
張先生認為,從實務角度,不涉及網通產品、沒有透過網路連線回傳資料曝露風險的中國制產品,較沒有外泄問題,可考慮不需要全都禁,如果單純零組件也不得為中國制,則生產成本高、交期更長,政府相同預算可採購的物品數量縮減。
美國怎麼做?
張先生提到,美國軍工業要求標準更高,前陣子美軍陸戰隊在F-35B出廠試飛後出事,才知道之前的發動機某些軸承來自中國大陸,美國政府下令不能使用中國制機械軸承,即便沒有任何產生資料的疑慮。美國政府把軸承也列F-35B試飛失事的調查原因之一。
台灣國防安全研究院中共政軍與作戰概念研究所副研究員舒孝煌接受自由亞洲電台採訪指出,美國強調供應鏈安全,訂定CMMC(網路安全成熟度驗證)機制,所有產品透過網路通訊跟原廠連結,即便機械產品可能沒有資安外泄顧慮,仍可能透過供應鏈猜測到正在研發什麼產品。
舒孝煌說:「採購什麼?知道供貨源,有些零組件很敏感,對方會知道是中科院採購,或日本、其他國家透過西方採購什麼,回推在研發什麼技術產品,猜測應用在哪?裝備性能為何?搞不好供應商會泄露資訊。也許不會植入木馬程式,可是會知道你用來採購什麼規格?性能?零組件用在什麼地方?」
舒孝煌表示,假設有機會植入後門,問題更嚴重,「例如從中國銷售到國外的無人機,使用的GPS導航系統受限,可能只能飛某些地方。像在烏克蘭有些無人機會回傳使用者資訊,使用端、主機設中國大陸,會怎麼用不知道,也許只是回傳,會不會有心人士進一步對資料進行整理?不知道。」
舒孝煌認為,有些研發廠商的亞洲維修中心設在中國,未來標案合約要註明清楚,如果要求不在中國境內維修,可能成本提高、時程更久,採購上要容許廠商遵守資安規定,有充份因應、有替代供應商維修中心、零組件等,既要強化供應鏈安全,成本相應提高以增加平衡。一般行政機關不熟悉這些問題,中央單位尤其涉及政治軍事中樞機密設備,數位發展部應協助訂決標准、驗收等。
中科院表示,中科院從2021年起,精進採購規定,除符合原產地不得為中國大陸地區外,另增訂採購品項的關鍵零組件(如:中央處理器、記憶體、晶片等)亦不得為中國製品,並於開標時執行產地國別審查,實機功能測試(POC),合格後拆機確認無中國製品,決標後加強履約督導及製程查核,驗收階段針對交貨品項執行拆解與驗測等強化查核作業,禁止中國製品滲入。
