中國商用無人機資安疑慮
2019.06.20
瀏覽數
94
壹、新聞重點
2019年5月20日《有線電視新聞網》(Cable News Network, CNN)報導,美國國土安全部(Department of Homeland Security, DHS)網路安全及基礎設施安全局(Cybersecurity and Infrastructure Security Agency)發布一項警告,指稱中國製的商用無人機能夠將飛行過程以及使用者的資料傳回製造商的伺服器,而伺服器上的資料並非只有製造商可以讀取,對使用者的資訊安全造成潛在風險。
美國DHS表示,美國政府強烈關切能將美國國內資訊傳送到威權國家境內的科技產品,因為這些國家的情報單位可以不受限制地讀取或濫用這些資料。因此,美國DHS建議使用者在購買中國無人機時必須特別小心,在使用時也要採取預防措施如關掉網路連線,以免資料被竊。[1]
貳、安全意涵
一、中國無人機可蒐集大量使用國資訊
美國DHS在警告中並未指名是哪一家中國廠商,但對象不言自明。總部位於深圳的大疆創新科技有限公司(Da-Jiang Innovations, DJI)所製造的無人機,由於易於操作的介面、功能強大的相機以及穩定的飛行能力,廣受消費者的喜愛。其在2013年推出的Phantom系列,至今仍是市面上最暢銷的機種。在2018年大疆創新的全球市佔率為74%,在美國與加拿大的市佔率更高達79%,[2]幾乎是壟斷商用無人機市場。
無人機在機身各個部位包括相機、螺旋槳、馬達裝有許多感測器(sensors),這些感測器皆可蒐集資料。[3]因此無人機一旦運作,就是一個不斷在蒐集資料的平台。由於大疆創新在全球的高市佔率,中國製的無人機在世界各國可以蒐集到非常大量的國內資訊。
二、無人機用途廣泛引發資安風險
隨著無人機製造技術精進與負載能力增強,商用無人機的用途愈來愈廣泛。在農林漁牧業上,掌握生產狀況、噴灑藥劑;在能源業上,檢查管線、架設纜線;在建築業上,審視結構、監督進度;在媒體業上,快速且安全取得突發事件現場畫面;在科學研究及環境保護上,輕易取得資料與數據;在災害防治上,監控災情、運送物資;在執法上,輔助人員查緝犯罪、追蹤罪犯。[4]因此,不論是民間企業或是政府組織,無人機的使用愈來愈頻繁,所執行的任務也愈來愈重要,甚至不乏具有機敏性質而導致資安風險者。舉例來說,美國DHS在堪薩斯州(Kansas)興建生物防禦設施(bio-defense facility)時,其包商就使用大疆創新的無人機協助施工及監督工地安全,[5]如此一來,建築設計、工法、興建進度等資訊都可能被蒐集。
根據中國《國家情報法》第十二條「國家情報工作機構可以按照國家有關規定,與有關個人和組織建立合作關係,委託開展相關工作」以及第十四條「國家情報工作機構依法開展情報工作,可以要求有關機關、組織和公民提供必要的支持、協助和配合」之規定,當中國無人機將蒐集到的資訊傳回廠商伺服器,中國情報單位即可依據此法獲取這些資料。若是其中有涉及機密,等於直接落入中國手中,造成嚴重的資安威脅。因此,美國陸軍在2017年就下令要求所屬單位停用大疆創新的無人機。[6]
參、趨勢研判
一、美國或將加速管制大疆創新
美國總統川普(Donald Trump)在2019年5月15日簽署行政命令,宣布進入緊急狀態,美國商務部(Department of Commerce)隨即將華為及旗下七十家相關企業列入出口管制實體清單(entity list),限制美國公司與華為及其相關企業進行貿易。美國DHS緊接著在5月20日發布對中國無人機的警告,不會只是巧合,雖然這項警告沒有法律效力,但顯示美國政府已經盯上大疆創新這家公司。
儘管大疆創新強調使用者可以完全控制資料的蒐集、儲存以及傳送;其所生產的無人機可以設定為隱私模式(privacy mode),不進行網路連線或不回傳資料給廠商,以符合美國DHS的要求。然而,由於無人機的用途太廣,如果使用者不諳操作或是疏忽,其可能造成的資安風險不會亞於華為,因此美國政府在繼華為之後,也可能會對大疆創新祭出管制措施。另外,大疆創新在市場上具有壟斷地位,美國加以管制也可打擊其市佔率。
二、美國將擴大禁用可將資訊傳回中國的智慧裝置
事實上,會將資料傳回製造商伺服器或是雲端設備的裝置,不是只有無人機而已,包括智慧音箱、智慧手錶都有類似的功能。當物聯網(Internet of Things, IoT)的時代來臨,各種智慧裝置都可以用來蒐集資料以及傳送資料,資訊安全的風險將是無比巨大,必須未雨綢繆。雖然廠商會為智慧裝置設計隱私模式,但資訊安全不能建立在假定使用者可以更改設定以防止資訊被傳送,而是要建立在資訊不會被第三方甚至政府取得的規範。在中國《國家情報法》的規定下,只要資訊會傳回中國廠商,資訊風險就永遠存在。因此,預期美國政府將會逐步擴大管制措施,只要是中國製造或是會將資訊傳回中國的智慧裝置,都可能會納入禁止使用的範圍。
[1] David Shortell, “DHS warns of ‘strong concerns’ that Chinese-made drones are stealing data,” CNN, May 20, 2019, https://edition.cnn.com/2019/05/20/politics/dhs-chinese-drone-warning/index.html
[2] 同註1。
[3] Alahna Kindred, “US warns Chinese-made drones sold on UK high streets and aimed at kids may be secretly harvesting users’ data,” The Sun, May 21, 2019, https://tinyurl.com/y5xjq4zy
[4] 張芮瑜、羅建旺,〈空拍機用途變變變 釣客玩家還想出這招〉,《聯合報》,2018年5月14日,https://theme.udn.com/theme/story/6774/3140220;Peter Diamandis, “Top 10 Reasons Drones Are Disruptive,” August 2014, https://tinyurl.com/yy32ksyz
[5] 同註3。
[6] Sam Byford, “After the US took down Huawei, could DJI be next?,” The Verge, May 21, 2019, https://www.theverge.com/2019/5/21/18633744/dhs-alert-china-drones-dji-huawei