布加勒斯特--罗马尼亚军方于今年1月16日购买的中国制造的监控设备,看似平淡无奇的举动可能具有深远的国家安全方面的影响。
一名罗马尼亚国防部员工以不到1000美元的价格,为位于南部宁静村庄德韦塞卢的军事基地的安全网络订购了一个8端口交换机和两台监控摄像头。该基地是北约的陆基宙斯盾导弹防御系统的所在地。
这些摄像头是由海康威视制造的,这是一家部分国有的中国公司,据称与中共军方有联系,其设备因数据和安全漏洞而被美国和英国列入黑名单。
尽管目前没有证据表明德韦塞卢的摄像头导致了任何违规行为,但自由欧洲/解放电台罗马尼亚语部几个月的调查显示,由海康威视和大华制造的监控设备(大华是另一家部分由中国政府持有的公司)被至少28个军事设施在罗马尼亚使用。这些设备还被数以百计其他与国家安全有关的公共机构使用,包括海岸警卫队和情报机构运营的地点等等。
与美国、英国或其他北约伙伴不同,罗马尼亚没有使用海康威视或大华设备的禁令。使用这个品牌设备的罗马尼亚国防部和其他国家安全机构表示,这些设备安装在没有云储存或者互联网联接的闭路系统,,并且遵循严格的安全规定。
然而,专家表示,在罗马尼亚使用这些设备引发了有关国家安全和敏感信息可能被泄露的关键问题。固件中的漏洞可能允许国家和非国家组织进行远程访问、控制摄像头、拦截数据以及进行网络攻击。尽管这些担忧并非只有海康威视和大华才有,但这两家公司存储数据、它们与中国政府有关系,以及不断增长的安全漏洞的范围等问题使这两家公司的风险更高。
康纳·希利(Conor Healy)是监控行业研究公司IPVM的政府研究主管,他告诉自由欧洲/解放电台记者:“即使某些东西没有连接到互联网,仍然存在安全风险。有一些闭路摄像头系统通过连接到互联网的其他系统遭到黑客攻击的例子。”
海康威视和大华是全球领先的闭路电视和监控系统供应商,其产品在欧洲仍然很受欢迎。欧盟没有针对他们的限制,但欧洲议会已将该公司制造的设备从其场所移走。两家公司都否认了有关其与中国政府的联系导致安全风险的指控,并表示他们定期修补任何可能导致漏洞的故障。
“网络战争已经开始”:中国的数字丝绸之路引发高科技竞争
大华未对自由欧洲/解放电台的置评请求做出回应,但海康威视表示,其大部分设备是通过第三方分销商销售的,公司在设备售出给客户后无法访问任何摄像头,而且公司有“一套强大的流程,以快速解决疑似漏洞问题。”
一位海康威视发言人告诉自由欧洲/解放电台:“海康威视摄像头符合罗马尼亚和欧盟适用的法律法规,并遵守严格的安全要求。”
在罗马尼亚没有专门禁止购买海康威视或大华设备的规定,尽管批评罗马尼亚安全部门使用这些公司产品的罗马尼亚议会议员卡塔林·特尼塔(Catalin Tenita)等政界人士表示禁令的法律依据已经存在,但尚未得到充分执行。
特尼塔告诉自由欧洲/解放电台,现行法律可能“有可能取消不符合既定安全标准的报价”,但政府决定不将其应用于海康威视和大华,尽管美国等合作伙伴已经有了先例。
对德维塞卢的关注
罗马尼亚国防部表示,由于这些设备安装在未连接互联网的封闭系统上,因此无法从外部渗透,只能在安全的内部网络上运行。
国防部发言人告诉自由欧洲/解放电台:“在军事单位安装的所有视频监控系统,包括硬件部分,包括摄像机、网络和存储设备,以及操作它们的软件应用程序,都要经过严格的测试、评估和批准程序。”
由美国负责导弹防御系统的部队管理的德维塞卢海军设施的发言人告诉自由欧洲,评论罗马尼亚的军事采购是“不适当的”,但他们“致力于与罗马尼亚同行保持强大的合作关系”,并将“继续共同努力支持和促进该地区的安全以及北约的集体防御。”
针对有关在罗马尼亚基地使用海康威视和大华设备的担忧,一名北约官员告诉自由欧洲/解放电台,北约采取了“强有力的措施来确保我们在整个欧洲大西洋地区的人员和设施的安全”。
这位官员表示:“我们不提供有关安全基础设施的具体情况,但北约继续依靠盟友确保军事场所使用的产品不会对安全构成潜在风险。”
北约并未对使用第三国设备发布任何正式禁令,但北约秘书长延斯·斯托尔滕贝格在2023年9月警告不要在关键基础设施中使用中国技术设备。
他说:“我们已经看到了依赖俄罗斯提供能源供应的结果。我们不应该重蹈覆辙,依赖中国为我们的关键网络提供技术。”
尽管罗马尼亚国防部坚称将设备与互联网断开连接会防止任何安全风险,但类似的情况足以促使美国对海康威视实施禁令。
由于海康威视在2018年初首次受到美国强烈的公众关注,在密苏里州的一个军事基地采取预防措施,移除了由该公司制造的封闭网络上的摄像头。
一年后,美国议员将海康威视列入制裁名单,因为对其在开发监视和追踪中国新疆地区维吾尔族和其他少数民族特殊技术方面的安全担忧和人权问题,有效地阻止美国公司出售其产品。
立陶宛国防部于 2021 年对海康威视和大华进行了审查,报告了海康威视固件中的近 100 个漏洞,并得出结论,该设备构成“网络攻击……或恶意代码插入的可能性”。
报告的结论是,大华的设备并未发现具体的“直接网络安全漏洞”,但测试确实表明该公司的摄像头定期向包括中国在内的五个不同国家的服务器发送数据包。
IPVM的专家希利表示,尽管将摄像头放在封闭网络上可能提供额外的安全性,但在海康威视和大华中记录的“广泛漏洞清单”使它们更容易受到有组织犯罪团体、非国家行为者和与对手政府有关机构的攻击。
他指出,与互联网断开连接的摄像头仍然可以被访问,正如联邦调查局1月份发布的一份报告所示,该报告称已关闭了一个名为“伏特台风”(Volt Typhoon)的中国支持的黑客组织。该组织的目标是关键基础设施,根据美国网络安全和基础设施安全局发布的一份报告,该组织能够通过在线侵入计算机操作系统,然后渗透到离线网络来访问封闭的摄像头系统。
海康威视和大华在罗马尼亚的传播
罗马尼亚是欧盟海康威视设备最大的市场,但海康威视和大华均未直接参与政府采购。而是由当地安全公司充当中间商,获取这些技术并将其重新销售给罗马尼亚的政府机构。
自由欧洲/解放电台的调查显示,海康威视和大华的设备在罗马尼亚警察、紧急情况总检察长、边境警察以及负责高风险和专业执法职责的国家宪兵中广泛使用,覆盖国家和地方各个层面。
自由欧洲/解放电台记者看到的采购记录还显示,海康威视和大华设备在罗马尼亚各地的法院、市政厅、大学以及布加勒斯特国民议会中随处可见。
罗马尼亚警察、紧急情况总检察长、边境警察和国家宪兵都告诉自由欧洲/解放电台,他们的海康威视和大华设备是根据国家公共采购法律合法购买的,并且“完全符合所需的技术规格”。
这些机构补充说,这两家中国公司的设备未连接到由海康威视或大华提供的互联网、计算机程序和云网络。
自由欧洲/解放电台还发现,罗马尼亚情报机构在位于靠近与摩尔多瓦接壤边界的东北城市雅西的总部也使用了海康威视和大华的设备。
罗马尼亚情报机构的一位发言人告诉自由欧洲/解放电台:“我们机构的视频监控系统是一个更大系统的一部分,它受到保护,安全地部署在封闭网络上,并且永远受到技术风险分析的监控,以确保最佳的运营安全,并防止任何存储数据的风险。”
专门从事视频监控系统安全的罗马尼亚公司 Softrust Vision Analytics 的视频系统专家兼安全系统工程师马里安·格赫内斯库(Marian Ghenescu)告诉自由欧洲/解放电台,保持网络离线并定期进行网络安全维护可以限制任何可能的漏洞。他说,在罗马尼亚,人们经常选择海康威视和大华,因为对于注重预算的当地机构来说,它们是最实惠的选择,而且可能并不总是按照最高安全等级设定安装。
网络安全专家、咨询公司Pro Defense的创始人(亚历克桑德鲁·安格鲁斯(Alexandru Anghelus)告诉自由欧洲/解放电台,所有监控设备都存在安全风险,而不仅仅是中国品牌。他说,海康威视和大华的漏洞历史可能值得进一步审查,并指出海康威视2021年发生的安全故障据信影响了全球超过一亿台摄像机。
与此同时,一些罗马尼亚议员呼吁进行进一步的调查。
参议员阿德里安·特里凡(Adrian Trifan)是一位担任通信、信息技术和人工智能委员会副主席的,他希望从议会中移除这种摄像头,并想要知道为什么海康威视和大华的设备在国家安全站点被如此广泛使用。
“这是一个严重的情况,相关机构应该立即澄清,”他告诉 自由欧洲/解放电台,“而且仍然需要澄清这些采购是如何通过罗马尼亚最高国防委员会筛查流程的。”
