微信搜索“高速商务通”,马上办理ETC
情报和安全委员会
外国参与关键国家基础设施对国家安全的影响
电信和英国的关键国家基础设施
- 英国将其关键国家基础设施(CNI)定义为“基础设施的某些”关键“因素,其损失或妥协将对基本服务的可用性或完整性产生重大不利影响,从而导致严重的经济或社会后果或损失生命“.1这包括能源供应管道,运输基础设施和供水等资产。在英国,CNI现在主要由商业考虑驱动的私营企业掌握。但是,鉴于CNI的重要性,它们所做的决定可能对国家安全产生更广泛的影响。
- 某些电信网络被认为是CNI的一部分:鉴于电信对我们日常生活的重要性,任何对网络完整性或可用性的破坏都可能产生严重和广泛的后果。自1984年该行业私有化以来,出现了激烈的竞争; 现在有数百个不同的提供商。但是,英国电信仍负责英国电信基础设施的大部分工作。2003年,它开始实施一项价值100亿英镑的大型合理化和升级项目,通常被称为21世纪网络。许多公司被选中提供所需的各种设备,其中一个是中国电信公司华为。与华为签订合同,提供部分传输和接入设备,包括路由器2,于2005年签署,
- 由于CNI资产的私人所有权增加以及电信市场的全球化,商业要求与国家安全之间可能存在冲突。重要的是要确保在这种情况下达到正确的平衡:政府必须明确其在英国CNI内部设备部署时的战略 – 特别是在外国公司开发或制造的情况下 – 并且有效考虑这些问题的流程。在这种背景下,我们考虑了BT和华为之间的关系。
华为与中国政府
- 华为由人民解放军前军官任正非于1987年创立。它是全球第二大电信设备公司,拥有超过150,000名员工,营业额约为200亿英镑。华为是全球众多电信公司的主要供应商; 在英国,这包括BT,O2,TalkTalk和Everything Everywhere。华为为他们提供手机,路由器等设备; 其设备遍布英国的固定和移动电信基础设施.3华为在英国拥有650名员工,并计划在未来五年内将其增加到1,350人。
- 围绕华为的大多数担忧与其与中国国家的联系有关。正如委员会在其上一份年度报告中指出的那样,20%的针对英国利益的网络攻击表明,他们更有可能成为国家支持的,或与有组织犯罪有关的复杂程度。中国被怀疑是国家支持的攻击的主要肇事者之一,这些攻击的重点是间谍活动和获取信息。在这种情况下,华为与中国国家之间所谓的联系令人担忧,因为他们怀疑华为的意图是严格商业还是更具政治意图。
- 然而,华为强烈否认它与中国政府或军方有直接联系,声称它没有得到中国政府的财政支持,并且其员工拥有6%的股份。尽管如此,
***其财务结构缺乏明确性.4此外,华为拒绝与中国的联系令人惊讶,因为这种与国家的联系在中国被认为是正常的。正如政府通讯总部(GCHQ)解释的那样:
电子商务与国家之间的密切关系是中国内地被视为正常和可以接受的,因为成功被认为是为所有人的利益0.5
- 当华为与中国的联系问题首次出现问题时,华为发起了大规模的公关活动,以证明他们可以作为电信设备供应商。2011年3月,该公司公布了董事会成员的姓名,试图与中国关系密切的指控保持距离。华为还发布了他们所谓的网络安全“白皮书”,题为“网络安全视角:21世纪技术与安全 – 艰难婚姻”.6作者:John Suffolk–华为全球网络安全官以前是英国政府的首席信息官 – 该报告试图反驳这些指控,声称这些指控是基于错误的假设和偏见。据华为称,这些包括:偏执狂; 国家歧视; 一个复杂的法律和监管环境,没有全球一致性; 和迅速变化的电信市场,导致一个具有挑战性的风险管理环境.7该报告的结论是,任何解决这些问题的方法都必须涉及跨越国界的行业和政府。
- 基于认为英国在赢得主要海外合同的斗争中“友好面子”的看法,华为去年宣布在英国进行12亿英镑的研究投资。鉴于目前的经济环境,这项庞大的投资受到政府的欢迎。可以预见的是,华为也抓住了这一点作为其可靠性的证据; 该公司的新闻稿是对外国政府的一个薄薄的反驳,阻碍了他们的业务扩张计划。引用首席执行官任正非的话说,“ 过去十一年来,我们发现[英国]政府透明,高效,实用。英国是一个开放的市场,欢迎海外投资。“8一些媒体评论暗示,这项对英国的投资很大程度上取决于华为打入美国市场的更广泛目标。
- 到目前为止,华为的公关活动似乎已经停滞不前,因为其他国家对该公司参与其国家电信网络采取了越来越重要的立场。在美国,情报众议院常设特别委员会(HPSCI)最近发表了华为的可靠性严厉的评估在美国国家安全问题“调查报告由中国通信企业华为提出并ZTE’.9他们的报告得出的结论是“ 该与华为和中兴通讯向美国关键基础设施提供设备相关的风险可能会破坏美国核心国家安全利益“.10与此同时,据报道,根据国家安全理由,澳大利亚政府已决定将华为纳入其国家宽带网络,这是英国电信公司在英国推行的类似升级项目(尽管澳大利亚网络拥有并由澳大利亚政府资助)。
- 美国和澳大利亚的政界人士对华为的持续看法仍然存在,主要是由于中国政府对公司的影响,他们认为华为认为华为存在安全风险。前美国中央情报局中国高级分析师克里斯约翰逊告诉美国新闻节目:
我认为这真的归结为公司会采取一些措施让自己变得更加透明,以及他们的最终目标,特别是与中国政府,中国共产党和人民解放军的关系。12
- 华为继续展示公关独立的公关战。最近,在2013年1月,华为的首席财务官Cathy Meng(任正非的女儿)承诺提高透明度和开放度,特别是关于公司的拥有方式。然而,媒体分析继续表明,尽管其声称拥有员工所有权,但董事会的任命仍受到严格控制
- 无论对华为的怀疑是合法还是毫无根据,我们认为有必要确定该公司是如何融入英国CNI的核心。本委员会的调查显示,英国的对内投资政策与其国家安全政策之间存在脱节。
- 2003年,英国电信首先向政府官员通报了华为对21世纪网络合同的兴趣。但是,内阁办公室已告知委员会,在签署合同一年后(2006年完整的年表见附件A),官员选择不将此事提交给部长,甚至通知他们。委员会试图了解这一失败背后的原因:
- 最初我们被告知这是因为官员得出的结论是,没有任何手段可以阻止华为的参与,因此部长们没有决定采取行动.14
- 但是,现在情况似乎并非如此。内阁办公室后来承认这些权力确实存在,15并且官员当时都知道这一点,但评估16使用它们可能造成的贸易,财政和外交后果太大.17
- 随后,当时的工业和贸易工业大臣通知我们。提问。帕特里夏休伊特,她确实与英国电信讨论了合同。然而,这与决策的竞争方面(以及对英国业务的影响)有关,而不是任何安全问题。官员们没有利用她参与的机会向她提出安全问题。
当英国电信首次向官员通报华为的利益时,没有理由不向部长们咨询情况。如此敏感的决定,可能具有破坏性的后果,应该由部长们掌握。
- 英国电信/华为案件的处理凸显了英国在CNI内部署设备的方法中的一些弱点。首先,没有一般要求拥有CNI资产的公司在授予合同之前通知或咨询政府,无论是英国公司还是外国公司.18相反,政府依赖非正规程序或私营公司采取倡议自己。鉴于利害攸关的问题,这是一种过于随意的方法。这意味着政府可能无法了解涉及潜在敌对国家的外国公司的合同,直到它们已被授予。显然,这并不总是允许对国家安全影响进行任何评估或采用战略方法来管理所发现的任何风险。
- 其次,即使公司主动向政府通报 – 正如英国电信/华为案件中所发生的那样 – 也没有适当的程序来确保向部长们提供信息或咨询。在这种情况下,咨询部长的失败似乎表明,鉴于问题的严重性,这种自满情绪是特别的。对于哪个部长负责此类决定令人惊讶地缺乏明确性,情况更加复杂。虽然是贸易和工业部(现为商业,创新和技能部)和内阁办公室的官员,他们认为阻止BT合同是不可取的,但最终通知了内政大臣。关于安全问题,尽管提供必要技术咨询的组织是通信 – 电子安全组(CESG),19向外交大臣报告.20内阁办公室负责CESG的任务,内阁办公室既不向内政大臣报告也不报告外交大臣。1984年的“电信法”似乎还授权文化,媒体和体育大臣做出最终决定,尽管我们没有看到该部门有任何参与的证据。
- 第三,似乎政府是否有任何干预权力仍然存在混淆。外交大臣告诉委员会:
我认为我们将拥有必要的权力,但如果出现这种情况,我们将不得不对此进行判断……如果我们决定我们需要采取某些此类行动的证据平衡,那就不可能。21
内阁办公室随后表示,根据1984年“电信法”确实存在权力。但是,其法律意见建议使用这些权力可能会促使司法审查,政府将不得不赔偿电信公司所遭受的任何损失。在书面证据中,内阁办公室表示“ 1984年法令中的指示权力并不适合减轻这些风险 ”.22虽然权力似乎确实存在,但它们仍无效。这又回到了部长参与的问题:如果将这个问题提交给部长们,那么他们就可以看看他们是否希望议会提供更多适当的权力,如果认为有必要的话。
o 政府保护公民安全和保障的责任不应因担心财务后果或缺乏适当的协议而受到损害。但是,程序,责任和权力方面缺乏明确性意味着国家安全问题存在风险,并且继续存在风险,被忽视。
o BT /华为关系始于近十年前; 当时审议国家安全问题的过程不够健全。委员会感到震惊的是,官员们选择不就此问题通知部长,更不用说咨询部长。我们不相信自那时以来在考虑对关键国家基础设施(CNI)的外国投资的有效程序方面有任何改进。平衡经济竞争力和国家安全的困难似乎导致了僵局。鉴于利害攸关的问题,这是不可接受的。
– 国家安全委员会应确保有适当的程序和权力,并在投资CNI时明确责任。至关重要的是,政府必须明确导致部长们在一个具有国家重要性的问题上不受欢迎的一系列事件,并立即采取行动以确保不会再发生这种情况。
安全担忧华为的设备:可能产生的影响
- 虽然允许外国公司在英国的CNI获得这样一个立足点的方式显然没有得到正确管理,但现在的问题是这个立足点是否对英国的国家安全有影响。当部长们最终获悉华为参与2006年时,正是因为正在寻求对华为设备进行检查。***。
- ***。
- ***安全局在2008年初告诉我们,从理论上讲,中国政府可以利用华为设备中的任何漏洞来获得对BT网络的一些访问权限,这将为他们提供一个有吸引力的间谍机会.23此外,委员会了解到,联合情报委员会(JIC)曾警告说,如果敌对行动者利用这种机会,“攻击” 将很难被发现或阻止,并且可能使中国人能够秘密拦截或扰乱通过华为供应网络的流量“.24 ***这些评估强调了理论上华为参与英国CNI的可能性。
- 我们质疑政府如果发现了攻击,将如何做出反应。内阁办公室解释说,他们“ 可以选择向通信服务提供商[CSP]施加压力,以终止与华为的任何合同。但HMG [HM政府]必须有确凿证据证明中国归属。“这个’选项’充其量只是微不足道。委员会感到关切的是,显然没有任何监测或应对潜在违规行为的战略。
- 任何漏洞,即使是由于无辜的错误而非恶意的意图,都会使人怀疑产品是否设计得足够好。一个不安全的产品会冒第三方利用其弱点进入英国网络进行敌对攻击的风险。***。GCHQ表示,“ 我们有信心英国网络在任何阶段都没有风险……因为英国电信从一开始就采取了缓解措施”26以及英国电信和政府采取的一系列措施……连贯缓解 “27任何风险。事实上,随着我们的调查工作的继续,GCHQ越来越关注给我们留下的印象:
英国电信负责任地投入大量资金和人力来管理这一风险。他们心甘情愿并与之充分合作
- 尽管我们对GCHQ对英国电信的信心感到放心,但我们也注意到他们承认无法完全消除未经授权访问的风险。因此,我们仍然担心无法保证:英国网络上部署的设备的任何弱点或漏洞都可能 – 通过运营商的过错 – 具有严重的安全隐患。
o ***。
o 虽然我们注意到GCHQ对BT管理其网络的信心,但嵌入在电信设备中的软件包含“ 超过一百万行代码 ”,GCHQ从一开始就明确表示“ 只需要通过那么多代码并且绝对相信你已经找到了所有的东西 “.29因此,全世界任何电信系统都会存在风险。重要的是如何管理或包含它。
- CESG,***立即与BT合作确认BT的网络架构足以保护网络免受攻击,并且还继续自己的研究***。随着华为扩展到其他CSP,2010年政府直接与华为英国公司合作,突出其安全问题并建议建立一个网络安全评估中心,现在通常被称为Cell。***华为被说服采取行动,以便提高英国供应商对华为产品安全性的信心。GCHQ告诉委员会,这项“ 缓解工作”得到了HMG与华为达成的书面协议的支持,该协议迄今已得到遵守。但是,GCHQ还指出“华为高级职员一直在寻求减少与[要求]相关的管理费用。 “30
- 根据GCHQ,缓解策略包括四个要素:
- 技术架构– 确保网络的设计使开发变得困难,监控变得简单,并提供分层防御。因此,华为的设备“ 在网络范围有限,以最大限度地降低整体系统风险 ”.31
- 合同责任– HMG鼓励正在考虑使用华为设备的CSP使用Cell(见下文),并包括支持缓解策略的特定合同要求。GCHQ将这一缓解策略描述为“ 最脆弱的部分”。委员会被告知使用Cell是自愿的:在使用华为产品的五个CSP中,只有三个使用Cell的设施。政府告诉我们,只有当公司使用华为设备向政府提供服务或作为CNI基础设施的一部分,或者以可能产生重大影响的规模运营时,才鼓励使用Cell。尽管如此,我们质疑其评估,即不使用Cell的两家主要宽带提供商的运营规模并不大,因此使用其服务将提供额外的缓解。
- ***公司参与– GCHQ承担自己的技术工作,以验证和建立Cell的发现。***。
- 华为内部的网络安全评估中心,称为32。这是该策略的关键要素(尽管我们注意到它不是孤立地工作,没有其他元素就无效)。我们将在下面更详细地研究Cell的工作。
- 该小组完全由华为资助,并由安全清除的英国人员组成,***。当Cell被打开时,华为将其描述为“ 像温室一样 – 透明,易于访问,并向监管机构和客户开放”.33但是,我们注意到Cell仍然受华为控制,而不是政府的控制。我们质疑华为支付和雇用的34名员工是否完全独立于华为,以便为公司的活动提供必要的保证。GCHQ承认风险,但解释说有管理它的措施:
- 首先,Cell的员工经历了“ 增强的安全流程***。由于这个过程,一些人没有被雇用。“35
- 其次,Cell的主任是前GCHQ副主任,“ 40年经验”,36人GCHQ“ 信任向政府和英国CSP提供有关华为产品的保证 ”.37此外,“ 他是唯一的非 – 整个公司的中国员工,他对预算和招聘拥有全面的执行权。Cell的技术人员完全在Cell内部管理,没有任何中国国民参考薪酬,奖金,评估或晋升。该小组的总体预算,包括员工费用,由该小组主任单独管理,他是唯一一个与中国有管理联系的人。Cell的设计意味着中国人对那里工作人员的影响微乎其微。“38
- GCHQ还认为,作为华为员工的Cell员工有“ 可观的利益”。“ 首先,HMG通过员工而非第三方承包商更容易影响华为。为了长期管理风险,我们必须提高中国研发[研究与开发]职能的工程和安全能力。安全研究界最近曝光华为设备的缺陷 – 每个供应商都在某种程度上持续存在 –
[已]证明了这种战略参与的必要性。39我们在推动公司重大变革方面的成功在很大程度上归功于Cell对我们的支持和使用。独立第三方(例如EWA Canada)的经验[表明]他们对大型企业机器没有足够的影响力。“但是,虽然我们同意这可能会改善工程标准,但它似乎没有为英国提供任何进一步的保护,使其免受故意为恶意目的而故意制造漏洞的风险。此外,所使用的比较是与第三方承包商,而不是GCHQ本身。
- GCHQ还引用了员工的好处,作为华为员工,可以不受限制地访问“ 缺陷跟踪系统等企业工具” ,这些工具允许他们直接访问漏洞数据库并跟踪解决方案进度。对这种系统的访问受到严格控制,几乎从未给予第三方。“41但是,我们注意到这意味着偶尔会向第三方提供更有限的缺陷跟踪系统访问权限,因此这似乎不足以让华为运营该中心。此外,虽然商业上的考虑可能会限制华为与其他公司分享此类数据的程度,但这种担忧并不适用于GCHQ。
虽然我们认识到目前人力资源部门的人员安排有一些好处,但我们认为这些好处并不比华为有效监管自己的风险大。
- 谈到Cell的工作,它旨在测试华为的高风险组件硬件和软件的所有更新,然后再将它们部署到英国网络上; 但是,预计不会发现每个漏洞。(GCHQ评估任何利用任何漏洞的尝试几乎肯定会被其他缓解措施阻止或检测到,技术架构的设计将使CSP能够监控活动。)在书面证据中,内阁办公室已声明Cell的目标是“ 将华为设备的使用风险降低到与现有制造商类似的水平 – 包括大型美国供应商”.42委员会被告知“ 这些灵活和适当的措施“ – 主要指细胞 – 提供” 巨大的缓解 “和” 非常好地工作 “.43
- 虽然未来可能会出现这种情况,但Cell将于2011年底全面投入运营(华为赢得合同六年后)。该
然而,目前,Cell在人员编制和职权范围方面的运作能力都有所下降,目击者已经承认现在说它的效果还为时尚早。为了使Cell能够提供安全保障,需要访问设备的产品和平台代码,华为仅在2012年3月开始发布.44 GCHQ告诉我们:
… [华为]以前没有发布过[产品和平台代码]。Cell推荐了华为已经接受的解决方案,并于2012年3月下载了第一个平台代码。现在应该让Cell发挥作用并全面评估产品。45
然而,它承认这是细胞运作的“ 重大问题 ”。为响应委员会在该领域的关注,GCHQ随后提供了进一步的信息,以解释BT与华为合作的条款和条件,自2005年合同开始以来提供了额外的保证,并且该单元仅用于“ 扩展保护其他提供者 “.46
- Cell引起了全世界的极大兴趣。“经济学人”中的一篇文章将其描述为“ 电信世界中权力平衡的不太可能的支点”.47尽管这种描述可能被夸大了,但Cell无疑是朝着发展政府与工业之间的网络安全伙伴关系迈出的重要一步。以自己的成本设置Cell是华为的重要一步; 它需要大量的金融投资***。然而,华为在英国合作以证明其对其他外国政府的可信度存在强烈的商业争议。正如华为告诉美国众议院情报常设委员会:
作为一家全球公司,其大部分收入来自中国以外的市场,我们知道任何不当行为都会损害我们的声誉,会对全球市场产生负面影响,并最终对公司业务造成致命打击。操作。
我们遍布全球的客户信任华为。我们永远不会做任何破坏这种信任的事情。华为冒险参与国家安全或经济间谍活动将是非常愚蠢的。48
o 英国政府已经能够利用华为的声誉,鼓励它投资网络安全评估中心(Cell),并对其设备和业务实践更加透明。这是一项重大成就。但是,我们质疑为什么
在获得BT合同七年后,Cell现在才刚刚接近全部功能。
§ 鉴于这些延误和迄今为止缺乏证据表明它将能够提供所需的安全保证水平,我们建议国家安全顾问作为紧急事项对该小组的有效性进行实质性审查。
o 更为根本的是,虽然我们认识到政府并不期望Cell能够找到所有漏洞,并且还有其他缓解措施,但我们仍然担心华为运营的Cell负责为华为产品的安全性提供保证。在寻求澄清之前,我们假设华为资助了Cell,但它是由GCHQ运营的。
§ 自我监管安排极不可能提供或被视为提供所需级别的安全保证。因此,我们强烈建议Cell的员工是GCHQ员工。我们认为,这种变化不仅符合华为和政府的利益,而且符合国家利益。
§ 我们注意到GCHQ认为华为公司的员工有优势。根据我们迄今为止看到的证据,我们没有发现这一论点具有吸引力。如果在进一步开展工作以探讨这个问题之后,发现GCHQ员工配备的Cell是不可克服的障碍,那么绝对是最低限度:
§ GCHQ必须对细胞进行更大的监督,并正式负责对其工作提供保证,验证和审核; 和
§ 政府必须参与选拔工作人员,以确保对细胞的持续信任。
的战略眼光
- 这项调查虽然是由华为与英国电信公司合作推动的,但并不仅仅关注单一合同,单一公司或单一风险管理策略。这是一个更广泛,确实是全球性的挑战; 围绕华为的辩论只是一个更广泛的问题。内阁办公室告诉委员会:
……商品化的通信市场,其产品可以在世界任何地方生产,包含固有的风险。49
- 微软就此问题发表的一篇论文指出:
互联网已经改变了我们的生活和工作方式,并且提供了巨大的机遇和挑战,现在已经无可争议了……信息通信技术系统对于关键基础设施和政府运营是不可或缺的……鉴于我们对网络空间的依赖程度越来越高[有]关注复杂的对手会玷污供应链,将功能插入产品和服务,使一个实体控制另一个组织的ICT系统,可能是为了在关键时刻窃取信息,改变信息或拒绝服务。50
- 大多数电信公司,无论其总部在哪里,都是在中国制造或开发的源设备。虽然从表面上看,澳大利亚和美国政界人士的强烈言论似乎得到了决定性行动的支持,但值得注意的是,这些国家已经在其CNI中拥有中国制造或开发的设备。正如中兴通讯代表所说,“ 如果与中国市场有”关系“的每个供应商都被排除在美国市场之外,那么美国运营商将从哪里购买电信基础设施设备?“51任何旨在阻止所有中国公司未来与CNI项目有关的合同的政策不仅不切实际,而且至关重要的是,鉴于中国制造和
开发设备不太可能带来国家安全保护.52全球可能只有两家公司能够使用自己的设备创建端到端的4G系统:华为和瑞典的爱立信。还有其他公司可以提供4G系统的元素; 但是,任何公司几乎都会在中国生产零件或从中国生产零部件。
- 英国电信和其他使用华为作为主要供应商的英国主要电信公司都强调了这一点。英国电信在一份声明中说:
我们清楚地认识到,电信行业日益全球化意味着在构建和保护网络时需要考虑各种各样的网络威胁。BT采用风险管理方法来使用华为的组件。53
- 正是这种风险管理方法才是关键,如果要在不扼杀自由贸易和创新的情况下维护国家安全,英国必须关注什么。政府必须有一个适当的程序来评估风险 – 正如我们之前提到的那样 – 以及制定管理这些风险的战略。至关重要的是,这应该是合同授予前后的过程中不可或缺的一部分,而不仅仅是事后的想法。
o 虽然我们已经考虑了电信基础设施的风险,但同样的问题也适用于英国CNI的任何方面。如果有一家私营公司向股东负责,其中许多人可能在国外,那么几乎不可避免地会出现国家安全问题。
o 寻求将CNI公司限制在英国供应商之间是不切实际的,鉴于供应链的全球性,这也不一定能提供全面的保护。CNI的风险无法消除,但政府必须确保妥善管理。必须有:
§ 一个有效的过程,通过这个过程,政府可以对CNI的潜在外国投资提出警告;
§ 评估风险的既定程序;
§ 制定在合同有效期内及以后管理这些风险的战略的过程;
§ 明确政府拥有或需要具备的权力; 和
§ 明确的责任和问责制。
谈到英国的重要国家基础设施,必须让各位部长随时了解情况。
o 当英国电信和华为首次开始商业合作时,我们认为这些关键要求并不存在。根据我们在调查期间所采取的证据,我们概述的程序步骤似乎仍然不存在。然而,在我们进行报道时,我们被告知政府现在已经制定了一个流程来评估与外国投资相关的风险。这些进程是否足够强大还有待观察:我们所概述的步骤必须存在,以确保政府不再发现自己处于同一地位。
结论和主要建议
委员会对BT /华为案件处理的调查凸显了英国在关键国家基础设施(CNI)投资方法中的一些弱点。
- 政府保护公民安全和保障的责任不应因担心财务后果或缺乏适当的协议而受到损害。但是,程序,责任和权力方面缺乏明确性意味着国家安全问题存在风险,并且继续存在风险,被忽视。
- BT /华为关系始于近十年前; 当时审议国家安全问题的过程不够健全。委员会感到震惊的是,官员们选择不就此问题通知部长,更不用说咨询部长。我们不相信自那时以来在考虑外国投资CNI的有效程序方面有任何改进。平衡经济竞争力和国家安全的困难似乎导致了僵局。鉴于利害攸关的问题,这是不可接受的。
- 国家安全委员会应确保有适当的程序和权力,并在投资CNI时明确责任。至关重要的是,政府必须明确导致部长们在一个具有国家重要性的问题上不受欢迎的一系列事件,并立即采取行动以确保不会再发生这种情况。
- ***。
- 虽然我们注意到GCHQ对BT管理其网络的信心,但嵌入在电信设备中的软件包含“ 超过一百万行代码”,GCHQ从一开始就明确表示“ 只需要通过那么多代码并且绝对相信你已经找到了一切 “。54因此,全世界任何电信系统都将面临风险。重要的是如何管理或包含它。
- 英国政府已经能够利用华为的声誉,鼓励它投资网络安全评估中心(Cell),并对其设备和业务实践更加透明。这是一项重大成就。但是,我们质疑为什么Cell在授予BT合同七年后才开始接近全部功能。
- 鉴于这些延误和迄今为止缺乏证据表明它将能够提供所需的安全保证水平,我们建议国家安全顾问作为紧急事项对该小组的有效性进行实质性审查。
· 更为根本的是,虽然我们认识到政府并不期望Cell能够找到所有漏洞,并且还有其他缓解措施,但我们仍然担心华为运营的Cell负责为华为产品的安全性提供保证。在寻求澄清之前,我们假设华为资助了Cell,但它是由GCHQ运营的。
- 自我监管安排极不可能提供或被视为提供所需级别的安全保证。因此,我们强烈建议Cell的员工是GCHQ员工。我们认为,这种变化不仅符合华为和政府的利益,而且符合国家利益。
- 我们注意到GCHQ认为华为公司的员工有优势。根据我们迄今为止看到的证据,我们没有发现这一论点具有吸引力。如果在进一步开展工作以探讨这个问题之后,发现GCHQ员工配备的Cell是不可克服的障碍,那么绝对是最低限度:
- GCHQ必须对细胞进行更大的监督,并正式负责对其工作提供保证,验证和审核; 和
- 政府必须参与选拔工作人员,以确保对细胞的持续信任。
- 虽然我们已经考虑了电信基础设施的风险,但同样的问题也适用于英国CNI的任何方面。如果有一家私营公司向股东负责,其中许多人可能在国外,那么几乎不可避免地会出现国家安全问题。
- 寻求将CNI公司限制在英国供应商之间是不切实际的,鉴于供应链的全球性,这也不一定能提供全面的保护。CNI的风险无法消除,但政府必须确保妥善管理。必须有:
- 一个有效的过程,通过这个过程,政府可以对CNI的潜在外国投资提出警告;
- 评估风险的既定程序;
- 制定在合同有效期内及以后管理这些风险的战略的过程;
- 明确政府拥有或需要具备的权力; 和
- 明确的责任和问责制。
谈到英国的重要国家基础设施,必须让各位部长随时了解情况。
- 当英国电信和华为首次开始商业合作时,我们认为这些关键要求并不存在。根据我们在调查期间所采取的证据,我们概述的程序步骤似乎仍然不存在。然而,在我们进行报道时,我们被告知政府现在已经制定了一个流程来评估与外国投资相关的风险。这些进程是否足够强大还有待观察:我们所概述的步骤必须存在,以确保政府不再发现自己处于同一地位。
附录A -华为的参与在关键的国家基础设施: 年表
2003:
- 英国电信公司投标合同为其21世纪网络提供设备 – 这是一个耗资100亿英镑的项目,旨在到2014年升级英国电信的通信网络。这将使英国电信的所有流量 – 包括其固定电话服务 – 通过光缆传输(而不是比铜线)并使用互联网协议技术传输,从而节省大量资金。
- 当英国电信了解华为对合同的兴趣时,它通知了国家安全信息交流工作组的官员.55在书面证据中,内阁办公室告诉委员会“ 没有正式的程序来评估这类国家安全问题。有一个有效的非正式程序已得到电信公司的充分建立和认可,有利于他们的利益。“56
- 官员们成立了一个跨部门工作组,首先考虑是否有可能向BT发出指示以阻止合同。他们最初得出的结论是,没有合法的手段可以这样做,尽管他们后来承认“ 根据1984年电信法案第94条,可以向BT提出指示,以防止他们使用华为作为供应商” 0.57
- 他们还认为,阻止合同“ 可能会产生严重的外交和贸易影响,并且根据1984年法案中的一项规定,政府可能会向英国电信公司索赔数亿英镑的赔偿金,这使政府有可能抵消任何符合“.58 ”方向的损失
2004年:
- 情报和安全协调员59写信给英国电信提供技术援助并提醒其法律义务,但指出公司决定是否授予华为合同,并说:“ 英国电信将不得不做出自己的商业决定在这些问题上。”
- 2003年9月至2004年10月:情报和安全协调员成立了一个跨部门工作组,由工作组主持
通信电子安全组(CESG)主任,负责调查方案。
2005年:
- 贸易和工业大臣对合同感兴趣,但从竞争的角度来看。官员没有通知她任何安全问题。
- 3月:NISCC发表论文。第一项建议是“ 服务提供商不应使用不受信任的供应商的设备”.60
- 12月:英国电信授予华为提供部分传输设备的合同。
2006年:
- 1月:情报和安全协调员致函内政大臣寻求协议,协助BT(应其要求)监督华为的工作。这是部长们第一次意识到安全问题(官员第一次被通知三年后)。
- 根据内政大臣的协议,成立了下一代联合风险缓解管理委员会,每月召开一次会议,然后每季度召开一次会议,直至2008年6月,由英国电信和内阁办公室网络安全与信息保障办公室的前任主持。
- 英国电信建立了自己的安全团队,与GCHQ合作,为华为设备和合同标准提供保证。
2008年:
- 12月:*** CESG与英国电信合作,确保网络架构足以保护网络免受攻击***。
2010:
- 2月:政府对华为英国的华为设备表示担忧,并提议建立一个安全中心。
- 网络安全评估中心(Cell)于11月推出。GCHQ描述了细胞的作用:
尚未创建Cell以查看运往英国市场的每一件硬件或软件。它将在部署之前评估硬件和软件升级。虽然这不会提供全面的风险缓解,但它将为华为的更新提供持续的生命周期保证,这将有助于整体风险降低策略。
Cell还将在英国基础设施初始部署之前随机抽样新硬件和软件,但其主要作用是评估更新,因为这是CESG认为任何恶意代码可能被隐藏的地方。*** .61
2011:
- 1月:CESG,英国电信和当时的政府首席信息官向华为总部介绍了中国设备发现的问题。华为确认会纠正这个问题。
2012:
- 委员会要求确认该小组现已全面运作并获得适当的资源。GCHQ告诉我们:
它目前有18名员工,其中3名在招聘流程中,大约5个职位空缺将填补下一个财政年度[财政年度]。该小组由前GCHQ副主任领导。虽然Cell已经取得了重大进展,但还需要进一步的工作来确保Cell提供满足GCHQ和HMG的安全保证级别。62
- GCHQ还提醒委员会另一个问题,直到最近,这个问题阻碍了Cell的功能:
最近克服了一个阻碍Cell发展的重大问题。华为总部一直担心将所有产品和平台代码发布到中国以外; 他们之前没有发布过。Cell推荐了华为已经接受的解决方案,Cell于2012年3月下载了第一个平台代码。现在应该让Cell能够发挥作用并全面评估产品。63
附件B -国际比较
鉴于对华为的担忧的国际性,考虑其他政府采取的方法是有用的。
美国
华为和中兴在美国受到很多批评。除了众议院情报常设委员会(HPSCI)的调查外,目前国会正在立法寻求在政府采购行动中解决供应链风险问题。然而,2012年10月18日,有报道称白宫已经完成了对中国供应商与美国电信公司相关风险的审查。据报道,美国政府发现,没有证据表明华为犯有对美国进行间谍活动的罪行。但是,它确实注意到“ 草率编码 ”造成了可能被第三方利用的漏洞。我们了解到政府问责办公室 – 相当于英国国家审计署
– 对在美国电信网络中使用国外设备的使用进行了更广泛的调查。
澳大利亚
在澳大利亚政府有争议的决定阻止华为进入国家宽带网络之后,中国参与关键国家基础设施(CNI)的问题在澳大利亚也是特别相关的。反对党对此公告产生了一些反对意见,这个问题看起来将在一段时间内继续讨论。事实上,华为高管最近出现在一个澳大利亚议会委员会面前,根据媒体报道,他们被问及“ 华为与执政的中国共产党的关系,共产主义单位是否构成管理结构的一部分以及该公司是否曾安装过”门“计算机硬件中的规定,允许黑客可能访问“.64在HPSCI听证会上,华为否认了所有指控并声称它是反华歧视的受害者。
印度
印度也被媒体称为正在努力排除华为的政府。然而,根据微软的分析,印度的方法主要是促进自主创新,而不是立法阻止特定的外国公司。虽然这种方法在地方经济发展方面具有明显的好处,但它也可以被视为进口商的“ 主要障碍 ”,并可能导致其他国家以经济保护主义的形式进行报复.65尽管华为在建设方面遇到了困难它在印度的声誉,现在是它的第二大
在中国以外的研究基地,表明东道国政府的敌意不是商业成功的不可逾越的障碍.66
中国
采取最坚定的方法来保护其CNI的国家,不出所料,中国。除了“ 积极的自主创新努力 ”外,中国还要求制造商必须由中国人或国家控制; 他们必须确认该产品不包含任何漏洞或后门; 具有加密技术的产品必须获得国家商业密码管理局的批准.67