因應近期政府網站常遭遇中國駭客攻擊,7-11超商電視螢幕、台鐵電視螢幕牆都遭駭,行政院資安會議擴大禁用中國通訊產品,除以往政府機關、委外及外包廠商不得使用之外,在公家機關場域,如停車場、商場等也都適用。 互聯網時代興起,聯網與非聯網設備的安全至關重要,企業該如何清查設備及零組件? 又該如何可視化組織的數位資產?
對國家安全的最大威脅之一是敵對行為者可以利用漏洞訪問政府的系統和數據。越來越多我們所依賴的設備被認為可能由敵對我方國家利益的他國製造。在某些情況下也會產生資安疑慮,如友邦國家製造的設備可能採用了敵對國家製造商所出口的零組件。
潛在風險是真實存在的—美國案例
美國國防部 (DoD)、總務管理局和美國國家航空航天局 (NASA) 根據風險真實存在的可信訊息採取行動,影響部署在聯邦政府網路上的設備,並發布了一項臨時規則,修訂了 聯邦採購條例 (FAR),以實施 2019 財年 (FY) 的約翰·麥凱恩國防授權法案 (NDAA) 第 889條。
於 2020 年 8 月 13 日生效的臨時規則發布了對使用被禁電信設備和服務的新禁令,並明確規範 2019 年生效的禁止購買此類設備的禁令。具體而言,它禁止聯邦機構採取與使用以下五家供應商的電信和視訊監控服務或設備的任何實體業務:
- 華為技術公司
- 中興通訊(或此類實體的任何子公司或關聯公司)
- 海能達通訊公司
- 杭州海康威視數碼科技公司
- 大華科技公司(或這些實體的任何子公司或關聯公司)
也為設備零組件廠商帶來深遠的影響
該規則也不會止步於聯邦機構的壁壘。它為主要承包商創建了兩項新的合規檢查 。他們必須:
- 在提交有關其使用違禁設備或服務的工作合約之前須進行“合理詢問”。
- 在識別後一天內完成識別並報告任何先前未披露的對違禁設備或服務的使用,並且還必須在 10 天內報告任何進一步的訊息和採取的解決措施。
該規則也適用於主承包商的分包商,主承包商應對這兩種情況負責。使情況更加複雜的是,該規則將“採用”廣義地定義為任何使用,“無論該採用是否是在履行聯邦合約下的工作。”
您可能認為該規則只直接影響 DoD、GSA 和 NASA 工作的承包商和供應商,但它具有深遠的影響。許多與這些機構打交道的公共和私人組織可能被視為承包商或分包商。 在許多情況下,該規則還可能適用於任何由美國政府支付的醫療承包商、付款人或提供者,包括美國國立衛生研究院 (NIH)、國防衛生管理局 (DHA)、退伍軍人事務部 (VA) 的承包商等。
您可以怎麼做?
面對類似的法規禁令,您應該採取以下步驟:
- 查看您的 IT 資產清單和您的供應商協議,以確定您或您的分包商是否使用該規則禁止的任何設備或服務。
- 建立並提供任何支持您對禁用設備或服務的“合理查詢”文件。
- 確定設備可以依合約更換或與工作隔離。
- 基於風險考量,實施有助於您遵守法規的機制,包括警告合作商在合約履行期間禁止使用任何違禁設備。
Armis 能提供的協助
我們的許多客戶都表示擔心他們的環境中可能有違禁設備。好消息是,您可以使用 Armis 查找這五家供應商的設備。
您還可以根據 Armis 在您的環境中發現的設備制定策略,以提醒您在履行合約期間是否使用了任何此類設備。此功能可幫助您遵守法規的報告規定。您還可以在 Armis 中構建自動阻止、隔離或制裁設備的策略,幫助您遵守法規要求。
由此下載 解決方案簡介
資料來源:Armis blog
