2024年3月9日

 

布加勒斯特--羅馬尼亞軍方於今年1月16日購買的中國製造的監控設備，看似平淡無奇的舉動可能具有深遠的國家安全方面的影響。

一名羅馬尼亞國防部員工以不到1000美元的價格，為位於南部寧靜村莊德韋塞盧的軍事基地的安全網路訂購了一個8埠交換機和兩台監控攝像頭。該基地是北約的陸基宙斯盾導彈防禦系統的所在地。

這些攝像頭是由海康威視製造的，這是一家部分國有的中國公司，據稱與中國軍方有聯繫，其設備因數據和安全性漏洞而被美國和英國列入黑名單。

儘管目前沒有證據表明德韋塞盧的攝像頭導致了任何違規行為，但自由歐洲/解放電臺羅馬尼亞語部幾個月的調查顯示，由海康威視和大華製造的監控設備（大華是另一家部分由中國政府持有的公司）被至少28個軍事設施在羅馬尼亞使用。這些設備還被數以百計其他與國家安全有關的公共機構使用，包括海岸警衛隊和情報機構運營的地點等等。

與美國、英國或其他北約夥伴不同，羅馬尼亞沒有使用海康威視或大華設備的禁令。使用這個品牌設備的羅馬尼亞國防部和其他國家安全機構表示，這些設備安裝在沒有雲儲存或者互聯網聯接的閉路系統，，並且遵循嚴格的安全規定。

然而，專家表示，在羅馬尼亞使用這些設備引發了有關國家安全和敏感資訊可能被洩露的關鍵問題。固件中的漏洞可能允許國家和非國家組織進行遠端存取、控制攝像頭、攔截資料以及進行網路攻擊。儘管這些擔憂並非只有海康威視和大華才有，但這兩家公司存儲資料、它們與中國政府有關係，以及不斷增長的安全性漏洞的範圍等問題使這兩家公司的風險更高。

康納·希利（Conor Healy）是監控行業研究公司IPVM的政府研究主管，他告訴自由歐洲/解放電臺記者：“即使某些東西沒有連接到互聯網，仍然存在安全風險。有一些閉路攝像頭系統通過連接到互聯網的其他系統遭到駭客攻擊的例子。”

海康威視和大華是全球領先的閉路電視和監控系統供應商，其產品在歐洲仍然很受歡迎。歐盟沒有針對他們的限制，但歐洲議會已將該公司製造的設備從其場所移走。兩家公司都否認了有關其與中國政府的聯繫導致安全風險的指控，並表示他們定期修補任何可能導致漏洞的故障。

 

“網路戰爭已經開始”：中國的數位絲綢之路引發高科技競爭

大華未對自由歐洲/解放電臺的置評請求做出回應，但海康威視表示，其大部分設備是通過協力廠商分銷商銷售的，公司在設備售出給客戶後無法訪問任何攝像頭，而且公司有“一套強大的流程，以快速解決疑似漏洞問題。”

一位海康威視發言人告訴自由歐洲/解放電臺：“海康威視攝像頭符合羅馬尼亞和歐盟適用的法律法規，並遵守嚴格的安全要求。”

在羅馬尼亞沒有專門禁止購買海康威視或大華設備的規定，儘管批評羅馬尼亞安全部門使用這些公司產品的羅馬尼亞議會議員卡塔林·特尼塔（Catalin Tenita）等政界人士表示禁令的法律依據已經存在，但尚未得到充分執行。

特尼塔告訴自由歐洲/解放電臺，現行法律可能“有可能取消不符合既定安全標準的報價”，但政府決定不將其應用於海康威視和大華，儘管美國等合作夥伴已經有了先例。

 

對德維塞盧的關注

羅馬尼亞國防部表示，由於這些設備安裝在未連接互聯網的封閉系統上，因此無法從外部滲透，只能在安全的內部網路上運行。

國防部發言人告訴自由歐洲/解放電臺：“在軍事單位安裝的所有視頻監控系統，包括硬體部分，包括攝像機、網路和存放裝置，以及操作它們的軟體應用程式，都要經過嚴格的測試、評估和批准程式。”

由美國負責導彈防禦系統的部隊管理的德維塞盧海軍設施的發言人告訴自由歐洲，評論羅馬尼亞的軍事採購是“不適當的”，但他們“致力於與羅馬尼亞同行保持強大的合作關係”，並將“繼續共同努力支援和促進該地區的安全以及北約的集體防禦。”

針對有關在羅馬尼亞基地使用海康威視和大華設備的擔憂，一名北約官員告訴自由歐洲/解放電臺，北約採取了“強有力的措施來確保我們在整個歐洲大西洋地區的人員和設施的安全”。

這位官員表示：“我們不提供有關安全基礎設施的具體情況，但北約繼續依靠盟友確保軍事場所使用的產品不會對安全構成潛在風險。”

北約並未對使用第三國設備發佈任何正式禁令，但北約秘書長延斯·斯托爾滕貝格在2023年9月警告不要在關鍵基礎設施中使用中國技術設備。

他說：“我們已經看到了依賴俄羅斯提供能源供應的結果。我們不應該重蹈覆轍，依賴中國為我們的關鍵網路提供技術。”

儘管羅馬尼亞國防部堅稱將設備與互聯網斷開連接會防止任何安全風險，但類似的情況足以促使美國對海康威視實施禁令。

由於海康威視在2018年初首次受到美國強烈的公眾關注，在密蘇裡州的一個軍事基地採取預防措施，移除了由該公司製造的封閉網路上的攝像頭。

一年後，美國議員將海康威視列入制裁名單，因為對其在開發監視和追蹤中國新疆地區維吾爾族和其他少數民族特殊技術方面的安全擔憂和人權問題，有效地阻止美國公司出售其產品。

立陶宛國防部於 2021 年對海康威視和大華進行了審查，報告了海康威視固件中的近 100 個漏洞，並得出結論，該設備構成“網路攻擊……或惡意程式碼插入的可能性”。

報告的結論是，大華的設備並未發現具體的“直接網路安全性漏洞”，但測試確實表明該公司的攝像頭定期向包括中國在內的五個不同國家的伺服器發送資料包。

IPVM的專家希利表示，儘管將攝像頭放在封閉網路上可能提供額外的安全性，但在海康威視和大華中記錄的“廣泛漏洞清單”使它們更容易受到有組織犯罪團體、非國家行為者和與對手政府有關機構的攻擊。

他指出，與互聯網斷開連接的攝像頭仍然可以被訪問，正如聯邦調查局1月份發佈的一份報告所示，該報告稱已關閉了一個名為“伏特颱風”（Volt Typhoon）的中國支援的駭客組織。該組織的目標是關鍵基礎設施，根據美國網路安全和基礎設施安全局發佈的一份報告，該組織能夠通過線上侵入電腦作業系統，然後滲透到離線網路來訪問封閉的攝像頭系統。

 

海康威視和大華在羅馬尼亞的傳播

羅馬尼亞是歐盟海康威視設備最大的市場，但海康威視和大華均未直接參與政府採購。而是由當地安全公司充當中間商，獲取這些技術並將其重新銷售給羅馬尼亞的政府機構。

自由歐洲/解放電臺的調查顯示，海康威視和大華的設備在羅馬尼亞員警、緊急情況總檢察長、邊境員警以及負責高風險和專業執法職責的國家憲兵中廣泛使用，覆蓋國家和地方各個層面。

自由歐洲/解放電臺記者看到的採購記錄還顯示，海康威視和大華設備在羅馬尼亞各地的法院、市政廳、大學以及布加勒斯特國民議會中隨處可見。

羅馬尼亞員警、緊急情況總檢察長、邊境員警和國家憲兵都告訴自由歐洲/解放電臺，他們的海康威視和大華設備是根據國家公共採購法律合法購買的，並且“完全符合所需的技術規格”。

這些機構補充說，這兩家中國公司的設備未連接到由海康威視或大華提供的互聯網、電腦程式和雲網路。

自由歐洲/解放電臺還發現，羅馬尼亞情報機構在位於靠近與莫爾達瓦接壤邊界的東北城市雅西的總部也使用了海康威視和大華的設備。

羅馬尼亞情報機構的一位發言人告訴自由歐洲/解放電臺：“我們機構的視頻監控系統是一個更大系統的一部分，它受到保護，安全地部署在封閉網路上，並且永遠受到技術風險分析的監控，以確保最佳的運營安全，並防止任何存儲資料的風險。”

專門從事視頻監控系統安全的羅馬尼亞公司 Softrust Vision Analytics 的視頻系統專家兼安全系統工程師馬裡安·格赫內斯庫（Marian Ghenescu）告訴自由歐洲/解放電臺，保持網路離線並定期進行網路安全維護可以限制任何可能的漏洞。他說，在羅馬尼亞，人們經常選擇海康威視和大華，因為對於注重預算的當地機構來說，它們是最實惠的選擇，而且可能並不總是按照最高安全等級設定安裝。

網路安全專家、諮詢公司Pro Defense的創始人（亞曆克桑德魯·安格魯斯（Alexandru Anghelus）告訴自由歐洲/解放電臺，所有監控設備都存在安全風險，而不僅僅是中國品牌。他說，海康威視和大華的漏洞歷史可能值得進一步審查，並指出海康威視2021年發生的安全故障據信影響了全球超過一億台攝像機。

與此同時，一些羅馬尼亞議員呼籲進行進一步的調查。

參議員阿德里安·特裡凡（Adrian Trifan）是一位擔任通信、資訊技術和人工智慧委員會副主席的，他希望從議會中移除這種攝像頭，並想要知道為什麼海康威視和大華的設備在國家安全網站被如此廣泛使用。

“這是一個嚴重的情況，相關機構應該立即澄清，”他告訴 自由歐洲/解放電臺，“而且仍然需要澄清這些採購是如何通過羅馬尼亞最高國防委員會篩查流程的。”