周四凌晨,美国旧金山的RSA大会继续进行,其中,在一场小组会议中,华为高管CSO Andy Purdy和美国国防部官员Katie Arrington同台围绕华为技术是否应为美国政府继续使用,从封锁华为的案例中探讨如何降低供应链安全风险。
小组会议现场(图片来自:2020百度安全哥伦布之旅)
国防部负责收购事宜的官员Katie Arrington坚持认为,立法部门和总统Donald Trump有充分的理由将华为产品从政府使用中移除。而华为美国首席安全官Andy Purdy则表示,这种决定是错误的。
Purdy说,美国政府奉行“淘汰和更换”政策,这是从为美国公民服务的政府工作人员手中夺走有用的技术。美国政府可以更密切地观察制造过程,找到建立信任的方法,而不是完全放弃这种技术。
Arrington反驳说,从政府使用中删除华为技术是唯一的选择,“因为风险如此之高”,美国不能考虑将敏感信息的控制权转移到另一个国家。
就拿当前供应链安全举例来说,要确保在制造过程中不会将安全漏洞引入技术。由于电话、计算机和其他设备是在海外工厂制造的,由多家承包商线上监督。因此,技术中出现漏洞的方法有无数种。漏洞是否有意而为之,出事之后由谁来负责等等这些都是可能导致国际关系危机的问题。在监督国防部的供应链风险管理过程中,Arrington主要关注的是供应链所控制的武器系统和关键基础设施。
供应链安全是一个难以解决的难题。可以将后门放置在隐藏的系统中,控制硬件研发的人更知道这个事情。 |
Agelight Advisory Group的顾问Craig Spiezle,专注于增加技术信任和解决道德问题,此次担任小组会议的主持人。此外,来自哈佛大学肯尼迪学校的技术政策专家Bruce Schneier和R Street学院智库的Kathryn Waldron也参加了此次小组会议讨论。
Schneier表示,之前美国政府并不介意设备是不安全的,因为其间谍机构最善于利用这些漏洞来获取情报。随着其他国家与美国的间谍能力差距缩小,美国政府才越来越关注修补漏洞,这将降低每个间谍的信息获取能力。
Schneier说:“安全将以监视为代价。” |
Waldron认为,美国政府禁止华为技术进一步说明,他们认为中国科技公司与中国政府紧密联系,而且这一联系目前无法断开。实际上,所有国家都在从事间谍活动,但这早已众所周知。
我们需要采取一种更加全面的结构化方法,不仅要考虑当前的风险,还要采取什么样的政策,才能带来积极的经济增长,并为市场竞争者提供帮助。 |
美国早期有将存在安全问题的设备出售给其他国家的情况。《华盛顿邮报》最近的一份报告详细介绍了中央情报局如何秘密运行这样一家加密公司,在Crypto AG的支持下向世界各国政府出售带有后门的设备。