與人類生活息息相關的物聯網(IoT),正在成為全球網絡基礎設施的下一個前沿,也是中共「中國製造2025」計劃的重點項目。美國國會下屬的USCC近日發表報告說,中共投巨資進行物聯網安全研究,旨在利用其安全漏洞進行情報蒐集和網絡攻擊行動,以及加強國內監控力。

美中經濟和安全審查委員會(USCC)發佈一份長達200多頁的調查報告,從多方面分析了中共在物聯網領域大力投資的目的。調查不僅披露中國物聯網安全漏洞研究中中共公安部的角色,同時還披露中共已經將「對物聯網漏洞的利用」武器化,進行攻擊性行動和間諜行動,而中共國安部正是這一伎倆的背後操手。

報告警告說,物聯網中固有的各種安全挑戰以及不良行為者增加對物聯網安全漏洞的利用,可能會對物聯網設備和網絡終端用戶及營運商帶來極為負面的、各種不同的後果。

報告舉例說,除了工業控制系統之外,未授權入侵醫療裝置可殺死病人;利用智能汽車的弱點可殺死司機和行人等,這些都是數據和裝置濫用可能帶來悲慘後果的例子。未來,未授權訪問物聯網設備所帶來的潛在破壞性似乎無限。

由於其在所有經濟領域的潛在使用價值,分析師預計物聯網將在未來幾年呈指數級增長。最終會涉及到全球數十億的連結設備。

但是,有關物聯網營運和安全的緊迫問題尚未得到解答,包括物聯網的安全性以及其漏洞所帶來的風險是甚麼。

中共發展物聯網的戰略

物聯網對全球經濟的潛在影響促使中共在2009年將其定為優先發展領域。中共隨後採取措施,通過強有力的規劃舉措和廣泛的財政支持,促進國內物聯網研發和基礎設施發展。

USCC的報告指出,中共推動物聯網開發的政策包括為物聯網研發提供大量財政支持,限制外國投資,選擇性執行中共法律以阻止外國物聯網公司在中國的營運,以及利用技術轉讓等。

報告還說,中共正在舉全國之力企圖在物聯網安全研究上取得巨大成就。其戰略是,中共高層指示創建一個由政府投資和進行機構建設,推動私營部門研發、軍民融合的生態系統,來進行物聯網安全研究。這種戰略和在其它幾個關鍵信息領域的戰略一樣,中共認為,自上而下的財政支出是能彌補回來的,因為這樣的投資從長遠來看會使其得到戰略、軍事和情報機遇。

報告說,這些政策給美國公司與其它外國公司在物聯網領域的競爭帶來嚴峻的挑戰。美國公司必須意識到中共政府把他們看成是戰略對手。中共可能會採取保護主義和不公平貿易行為來支持其自己的物聯網公司而不是外國競爭對手,從而為外國公司創造一個嚴峻且敵對的市場環境。

利用物聯網漏洞企圖實現未經授權訪問

報告指出,中共在積極研究物聯網的漏洞,既出於安全目的,也是為了收集情報,對實施網絡攻擊,進行網絡偵察,並增強其國內監控能力。

報告說,幾乎可以肯定的是,中共的物聯網安全研究正在被用來加強中國國內大規模監視能力,由中共公安部下屬的一些研究機構完成。來自公安部第一研究所的研究人員強調,利用物聯網邊緣計算來管理公安設備收集的大量數據。公安部第三研究所還設有一個物聯網技術研發中心和一個滲透測試中心。

報告說,證據顯示,公安部的研究機構積極參與了物聯網安全研究,這很可能會加劇對物聯網設備未經授權的訪問,還可能使得公安部能夠積極利用物聯網安全漏洞執行任務。

雖然國家計劃的官方聲明表明中共非常重視提高中國物聯網生態系統的安全性,但中共對物聯網安全研究的支持加強了研究的雙重用途:不僅可以保護中國設備免受未經授權訪問,還可以使中共政府能夠組織對全球物聯網設備進行未授權訪問。

研究表明,中共正在利用物聯網安全研究來實現未經授權的訪問。報告說,西方國家安全研究人員的研究顯示,中共國安部已經率先將「對物聯網漏洞的利用」武器化,執行攻擊性和間諜行動。

報告還列舉了一個中共利用物聯網漏洞進行攻擊的例子。近年來攻擊物聯網裝置最複雜的惡意軟件之一「Reaper」,就是利用各種物聯網設備中的漏洞進行非法鏈接。以色列網絡安全專業人員在對「Reaper」殭屍網絡的分析中提供的證據強烈表明,「Reaper」殭屍是由一個位於中國的APT組織所控制,並且控制「Reaper」的組織和已被確認的中共黑客組織「APT18」是同一個組織。

西方國家的一些分析指,「APT18」背後的操手也與2015年美國醫療保險公司遭黑客攻擊有關聯,最有可能是中共國安部的一個單位。美國安全專家也指出,「APT18」和中共有關聯。

這種攻擊對美國物聯網的敏感數據構成直接威脅。

中共為何爭相設定國際技術標準

報告披露,中共政府正積極在物聯網領域的國際標準制定委員會中尋求更大影響力,企圖主導有關領域的國際發展走向。這將會影響到美國和歐洲未來在有關機構的話語權,並將以犧牲美國和其它外國同行的利益為前提,使中企受益。

參與建立國際技術標準會帶來很多好處。報告說,一旦哪個國家建立全球標準並被接受,就會對制定其它標準的國家或公司施加壓力去符合現有的國際標準。從安全角度來看,被採納成為國際標準的優勢還會更大,因為作為標準技術的創始人,對技術的內外操作都有著深入了解。中共在物聯網領域野心勃勃,加大力度試圖影響和制定國際物聯網標準,這是中共以國家指導計劃來實現在物聯網領域主導作用的關鍵部份。

報告指出,中共目前正在利用比美國更加全面的戰略來影響物聯網的相關標準,而美國實體往往在重要的國際標準化流程中缺席。結果,對於一些國際標準的制定,美國的輸入有所減少。相反,中共正在加大其對國際標準化的參與。在高層上,中共增加了在國際標準機構的參與。在低層上,中共正在利用國家經濟,國家對新技術的投資,以及國家補貼的外交政策倡議,如「一帶一路倡議」,來推動其它國家採用其技術,以及其標準。

USCC建議說,為了解決中共積極追求國際技術標準,確保美國在物聯網和其它相關行業的領導地位和優勢,美國政府應該對中共的國際標準工作進行額外報告和研究;通過增加資金和激勵措施,鼓勵更多的美國公司參與到國際標準制定委員會。

中共的物聯網研究對美國的威脅

報告指出,中共對物聯網主導地位的追求對美國經濟和國家安全利益構成重大挑戰。中共在國際標準制定委員會的積極參與給了北京更大機會來主導標準的制定方向。

報告認為,中共對美國消費者的授權訪問和未授權訪問都會給美國人的私隱權構成嚴重威脅。

報告說,隨著中國物聯網公司利用其在生產和成本方面的優勢來取得美國的市場份額,其授權訪問美國消費者的物聯網數據只會增加。中共政府和監視機構使自己有權從中國公司獲得物聯網數據,超出了公認的國際規範。以下四種主要方式使中共有機會獲得美國物聯網數據:

在用戶層面上,中國公司只需通過讓美國消費者使用他們的物聯網產品就可獲得美國數據。因為美國用戶在使用這些產品時往往必須選擇同意「使用條款」,這實際在授權中國公司蒐集和傳輸數據。
通過設備製造和設計過程進行設備級訪問,為中國公司提供了收集大規模更多信息的機會。
在公司層面,中國公司可以購買美國物聯網公司及他們所積累的數據,或通過第三方供應商等途徑購買美國數據。
中共政府的數據撥用權可以使美國的物聯網數據暴露給中共政府蒐集機構。
報告還說,物聯網產品的廣泛採用和中共對物聯網漏洞利用的研究相結合,增加了美國物聯網設備及其連接的網絡未經授權訪問威脅。這種未經授權的訪問可能對美國國家安全和經濟影響造成重大影響,從敏感的消費者數據的竊取,到瞄準美國官員的情報蒐集。任何這些後果都可能為中國公司或中共政府帶來顯著競爭優勢。從短期來看,中共政府和企業能夠訪問美國數據將為中共情報行動帶來巨大機遇。從長遠來看,獲取美國數據將為中共人工智能發展提供一個重要優勢,最終使得中共在另一個有望塑造未來的經濟領域中獲得經濟優勢。

為了應對中共對物聯網漏洞的潛在利用並保護美國設備免受中共國家和非國家威脅,美國政府應該增加對物聯網安全研究的資助和支持;記錄那些實施物聯網安全研究,並受中共軍隊和安全部門支持的中國實體;徹底改變對中企投資美國物聯網業的監管流程。

美國可以通過合理的政策來打擊或削弱中共在許多領域的挑戰。但報告也指出,美國保護自己和其公民的利益並非易事。一個原因是,一黨專制的中共政權會向所有中國物聯網公司索取這些公司所收集的數據,包括來自美國消費者的數據。雖然理論上美國政府可以阻止美國公司向中國實體交出他們所掌握的數據,但卻難以阻止中共政府從中國公司手裏獲得數據信息。

這一現實要求美國對這些挑戰有一個清晰的認識,需要華盛頓、美國私營部門的創新能力以及與美國在國外盟友更大的協調。

報告指出,中共對物聯網安全漏洞的利用仍在加速。在今年7月美國總統特朗普與俄羅斯總統普京在芬蘭赫爾辛基會面前夕,來自中國的針對芬蘭物聯網設備的攻擊急遽增加。報告顯示,這一攻擊旨在對能夠收集聲音或影片情報的設備獲取訪問和控制權。

報告說,雖然目前中國龐大的市場規模,生產能力和政府支持提供了一些顯著的優勢,但中共在許多物聯網技術方面仍落後於國際領先水平。因此,美國公司和美國政府仍有時間保持技術優勢,並影響未來的物聯網發展,及其標準的制定和推出。