2021年4月26日

 

美國總統拜登本星期正式撤銷對美國國防設施供電單位使用中國電力設備的禁令，但維持了前總統特朗普有關加強保障大容量電力設備安全的行政命令。

 

兩項命令一去一留，拜登如何審視中國設備安全問題受關注

美國總統拜登1月20日上任後撤銷或暫緩了前總統特朗普一系列行政命令。其中凍結了90天的一項是去年5月1日頒佈的有關保障美國大容量電力系統安全的13920號行政令，這項行政令責成美國政府排查大容量電力系統中的安全風險、監控或替換那些採購于不可信任的外國供應商的設備。

13920號行政命令說，美國的外國敵手正在製造和利用美國電力系統中的弱點，電網正在成為那些針對美國和美國人民的惡意行為的目標。雖然這項行政命令沒有直接指明“不可信任”的供應商國別，但在該行政令的指引下，美國能源部在去年12月發出“禁止令”（prohibition order），明文禁止為關鍵國防設施提供69千伏或以上電力服務的機構從中國採購、進口、移交或安裝大容量電力系統設備。

經過90天的審議後，美國能源部本星期（4月20日）宣佈，恢復執行13920號行政命令，但決定撤銷12月頒發的有關禁用中國電力設施的禁止令。

 

特朗普在13920號行政令中宣佈，美國大容量電力系統所受威脅是一種“全國緊急狀態”。美國能源部在最新發佈的一份解釋檔中說，這一緊急狀態將在今年5月1日到期，撤銷禁止令是為了在到期之前“創造一個穩定的政策環境”。

此外，能源部還向電力公司、能源部門、學術界、研究機構等部門發出資訊邀請書（RFI），通過意見徵集“制定一項強化和可管理的戰略，解決美國能源部門的安全問題”。

加利福尼亞Fortress資訊安全公司參與了美國能源部這次意見徵集。該公司能源安全解決方案部門副總裁、在電力部門監管治理行業有20多年從業經驗的托拜西·惠特尼（Tobias Whitney）說，關鍵國防設備的中國產品禁令讓美國電力行業措手不及，這一禁令讓他們感到“過度、過快”（too much, too soon）。

 

惠特尼對美國之音說：“這並沒有給這個行業足夠的時間對他們將如何應對供應商做出反應、（理解）與那些與中國有關聯的組織和技術公司的合作關係究竟意味著什麼……關於如何判定一個供應商最終是否會被允許去支持關鍵國防設施，也確實沒有給出細節。”

中國《國家電網報》報導說，對拜登政府調整有關中國產品的禁令，中國國內電力企業多數持謹慎樂觀態度。江蘇華鵬變壓器北美行銷與服務經理蔡運清在一封電子郵件中對美國之音表示，認為拜登政府政策會“更開放更公正”。他說：“相信拜登政府的‘美國回來了’政策，會帶回來是更多的和平和繁榮”。

 

未來禁用中國設備仍有可能

雖然美國關鍵國防設施對中國電力產品的禁令得以解除，這並不代表那些渴望美國市場的中國電力設備企業從此可以高枕無憂。拜登對特朗普13920號行政令有關“外國對手”對美國關鍵基礎設施威脅的定論“維持原判”，在許多分析家看來耐人尋味。

物流與能源問題專家、公共政策智庫萊剋星頓研究所（Lexington Institute）高級研究員保羅·斯泰德勒（Paul F. Steidler）認為，拜登政府清楚地認識到，中國對美國電網構成了嚴重威脅，其中既包括駭客網路入侵，也有危險產品可能被安插到電力系統的硬體威脅。

斯泰德勒對美國之音說：“拜登政府希望獲取公用事業部門和公眾提供的更多意見，然後才有可能推進對外國設備的具體和廣泛的禁令。考慮到電網的複雜性，以及我們與中國關係的複雜性，這是可以理解的，可以讓正確的政策儘早採納，也不會因為過早地採納在以後被迫取消。”

 

在拜登政府明確電力設施的採購要求之前，美國電力採購部門仍然對是否購買和安裝中國設備存持謹慎態度。美國能源部對此的最新解答是：“從中國採購的重要電力系統設備日益普遍，這對美國的關鍵基礎設施構成了重大威脅。因此，在制定進一步建議的同時，能源部希望公用事業公司採取行動，將安裝受美國外國對手擁有、控制或影響的電氣設備和可程式設計元件的風險降至最低。”

斯泰德勒說：“無論如何，來自中國和其他敵對國家的危險或潛在危險產品不得進入美國電力系統是至關重要的。”

 

拆舊換新，還是加強監測？

中國電力設備企業最不願意看到的局面，恐怕是像電信公司華為、中興那樣被完全阻絕在美國市場之外。如果被定性為“不可信任”，已經裝置在美國電力系統的設備和部件也有可能如同美國電信網路中的華為產品那樣被“拆舊換新”（rip and replace）。

Fortress資訊安全公司副總裁惠特尼說：“包括電力行業在內的大多數行業，不希望採用‘拆舊換新’的方法，這是大多數公司最不願意走的道路。但這並不是說這一途徑是完全不可能的。”

他說，美國能源部也不想採取這一路線。

 

分析認為，美國政府對於如何排除電網中的風險部件將採取更有針對性的做法。美國國土安全問題專家、奧本大學（Auburn University）網路與關鍵基礎設施安全研究所主任弗蘭克·希魯夫（Frank Cilluffo）說，維護電力系統的安全性，首先要提高網路安全隱患的可見度。

希魯夫對美國之音說：“你在瞭解敵人之前，你需要瞭解你自己。事實上，我們需要瞭解我們的各種供應鏈，這在理論上聽起來很容易，但在實踐中卻相當困難。”

希魯夫提到了能源部最近幾年新設立的“工業控制系統承受力網路測試” (CyTRICS) 項目。這一項目依靠能源部四個國家實驗室最先進的智慧分析能力，測試能源部門軟體和固件的安全性。

 

他說：“我知道能源部目前正在做的、在更大範圍與供應鏈相關的工作是解決（系統中）安全弱點難以察覺的問題……（CyTRICS）專案與先前的行政命令契合，仍在能源部穩步進行。它不是簡單地將實體列入白名單和黑名單，而是對整個系統的漏洞進行定期診斷和測試。”

另外，在中國、俄羅斯等國近年來對美國的網路襲擊不斷增加的大背景下，美國能源部本星期發起了一項百日倡議，以加強電力公司工業控制系統（ICS）的網路安全，並確保能源部門供應鏈的安全。能源部下屬的網路安全、能源安全和應急辦公室（CESER）與電力公司合作，增強它們的工業控制系統在網路安全可見性、檢測和回應方面的技術和系統能力。

 

更聰明的“脫鉤”方式

雖然一些分析認為，拜登政府對技術領域供應鏈安全的關注印證了美中科技領域“脫鉤”的大趨勢，但在此次電網安全審查決定中，拜登放中國企業“一條生路”、推翻前任禁令，同時留了一手，提醒有關企業謹慎安裝美國對手生產的電力技術產品，預示著兩國脫鉤會以更循序漸進的方式展開。

Fortress資訊安全公司副總裁惠特尼說：“真正的問題是，電網裡有哪些系統？這些系統由哪些元件組成？哪些元件可能會受到危害、從而影響這些系統的運行？要降低電網中特定系統和產品的特定風險，哪些安全控制是必要的？我認為這可能是我們多年來面臨的更具體的挑戰。”

大西洋理事會網路治理計畫研究員賈斯汀·謝爾曼（Justin Sherman）對美國之音說，美國大容量電力系統裡中國製造的設備，是值得美國政府調整政策的領域之一，以排查和防範潛在的網路安全風險。

 

他說：“問題始終是如何建立和維持這一進程，以及拜登政府決定在哪些更廣泛的領域採取某種‘脫鉤’或安全審查措施，同時承認美中技術總體上相互連接和相互依存的現實。”