Thursday, 5 January 2023

台雄三导弹设备送中国山东维修 爆泄密疑云

台湾《镜周刊》报道,台湾的雄三导弹重要零组件被转送到中国山东维修,机敏数据恐外泄中国。研发雄三飞弹的台湾中科院表示,雄三零组件被瑞士原厂商送去山东的维修厂维修后送回,经确认并没有遭植入恶意程式,没有资安泄密的疑虑。

台湾《镜周刊》4日披露接获爆料,指由国家中山科学研究院研发、被喻为“航母杀手”的雄三导弹,其定位锁敌的经纬仪,竟被辗转送至中国山东维修,若相关数据外泄,恐造成台湾导弹阵地曝光。

《镜周刊》指出,导弹寻标器侦测到信号后能快速整合数据,迅速精准击中目标,其中的经纬仪是导弹以2.5倍音速飞行,能够持续定位的重要仪器。此次因两座故障送修,爆发国安漏洞疑云。

台湾中科院4日发新闻稿回应指出,经纬仪是中科院生产组装线上量测导弹弹体、发射箱、发射架等物件所使用的光学校正设备,并不是控制雄三导弹持续定位的零组件。中科院向外商瑞士莱卡(Leica)公司采购,因部分设备瑕疵,在保固期间卸除仪器内相关储存记忆卡后,要求台湾代理商送瑞士原厂检修。

中科院:瑞士原厂迳送中国维修 无资安泄密疑虑

中科院指出,修复送回后,中科院主动发现进口报单上是由山东青岛流亭机场出口。代理商回覆,原厂商告知因地缘关系,送往山东的亚洲维修中心处理。经中科院资安鉴定,确认没有遭植入恶意程式,无资安泄密疑虑。

《镜周刊》另报道,台湾国防部为防止遭渗透、突袭与破坏机敏军事设施,斥资百亿委由中科院建置“重要防护营区智慧型警监系统”,在资通电军、电展室等重要防护营区进行施作,范围扩及陆、海、空军及后备、宪兵、国防大学等全台共284处单位,让军方能透过云端伺服器即时监控营区状况。但其中“球型”监视器竟含有中国的芯片及零组件。

《镜周刊》接获爆料质疑,台湾军方明文规定不得使用任何中国制的设备,这批监视器却早已被装设在大直双溪营区内外,还是重要的资通电军队部,令人担忧台湾军方重要情资是否早已外泄?严重冲击国安?

中科院指出,球型监视器厂牌为瑞典AXIS,生产地瑞典,符合采购规定。经拆机检查,各项关键零组件模组的芯片、记忆体等均非中国大陆制品,惟电源讯号测试电路板为中国制品,属被动元件,非属关键零组件不得为中国制品禁用范畴,且无涉及国安、资安或泄密疑虑。

资安专家:合约应载明生产制造维修都禁涉中国

在资安公司担任顾问、不愿具名的张先生接受自由亚洲电台采访表示,中国在过去三十年是世界工厂,很多西方国家公司会在中国设分公司或亚洲维修中心,不会只有台湾发生这种问题。

张先生说,政府若要严格把关,未来各单位尤其涉及重要机敏资料应在采购发包时的合约上,明确规定相关设备生产、制造、维修,都不得涉及任何在中国境内的中国分公司,只能回母公司及母公司所在中国以外的分公司处理。包含维修、校正验正及运输路途等。

张先生举例,台湾很多政府机构使用美商戴尔电脑,戴尔全亚洲最大货仓在厦门,未来就必须规定不得在中国境内出货、维修等,只能改去离台湾第二接近的戴尔马来西亚槟城分公司。

张先生认为,从实务角度,不涉及网通产品、没有透过网路连线回传资料曝露风险的中国制产品,较没有外泄问题,可考虑不需要全都禁,如果单纯零组件也不得为中国制,则生产成本高、交期更长,政府相同预算可采购的物品数量缩减。

美国怎么做?

张先生提到,美国军工业要求标准更高,前阵子美军陆战队在F-35B出厂试飞后出事,才知道之前的发动机某些轴承来自中国大陆,美国政府下令不能使用中国制机械轴承,即便没有任何产生资料的疑虑。美国政府把轴承也列F-35B试飞失事的调查原因之一。

台湾国防安全研究院中共政军与作战概念研究所副研究员舒孝煌接受自由亚洲电台采访指出,美国强调供应链安全,订定CMMC(网路安全成熟度验证)机制,所有产品透过网路通讯跟原厂连结,即便机械产品可能没有资安外泄顾虑,仍可能透过供应链猜测到正在研发什么产品。

舒孝煌说:“采购什么?知道供货源,有些零组件很敏感,对方会知道是中科院采购,或日本、其他国家透过西方采购什么,回推在研发什么技术产品,猜测应用在哪?装备性能为何?搞不好供应商会泄露资讯。也许不会植入木马程式,可是会知道你用来采购什么规格?性能?零组件用在什么地方?”

舒孝煌表示,假设有机会植入后门,问题更严重,“例如从中国销售到国外的无人机,使用的GPS导航系统受限,可能只能飞某些地方。像在乌克兰有些无人机会回传使用者资讯,使用端、主机设中国大陆,会怎么用不知道,也许只是回传,会不会有心人士进一步对资料进行整理?不知道。 ”

舒孝煌认为,有些研发厂商的亚洲维修中心设在中国,未来标案合约要注明清楚,如果要求不在中国境内维修,可能成本提高、时程更久,采购上要容许厂商遵守资安规定,有充份因应、有替代供应商维修中心、零组件等,既要强化供应链安全,成本相应提高以增加平衡。一般行政机关不熟悉这些问题,中央单位尤其涉及政治军事中枢机密设备,数位发展部应协助订定标准、验收等。

中科院表示,中科院从2021年起,精进采购规定,除符合原产地不得为中国大陆地区外,另增订采购品项的关键零组件(如:中央处理器、记忆体、芯片等)亦不得为中国制品,并于开标时执行产地国别审查,实机功能测试(POC),合格后拆机确认无中国制品,决标后加强履约督导及制程查核,验收阶段针对交货品项执行拆解与验测等强化查核作业,禁止中国制品渗入。

 

记者:夏小华    责编:陈美华、郑崇生    网编:瑞哲


from RFA https://www.rfa.org/mandarin/yataibaodao/gangtai/hx2-01042023100354.html