(本文作者為產業分析師)科技封鎖是美中衝突的主軸,但背後是地緣政經角力的結果,雙方皆在提高制定數位經濟標準的能力。資安雖然非主力技術,但身為技術背後的強力後盾,美國政府也開始將資安列為優先政策,配合其他方式展開制裁。
資安戰是否美中科技衝突的下個戰場?
美中衝突正在持續,拜登政府的作法有別於過去川普政府的「覆蓋式攻擊」:川普著重在實體貨物的關稅制裁,但該種做法由於範圍太大反而不好使力,導致美國對中國大陸仍然產生大量貿易逆差,企業用各種方式持續對中國大陸提供科技產品與零組件。相較之下,拜登政府則採用「科技鎖喉」的精準攻擊,從晶片、關鍵設備、人工智慧、軟體等四大面向進行封鎖。例如美國自2020年初便開始阻止荷蘭艾司摩爾 (ASML) 向中國出口EUV曝光機設備,而2022年中開始,則禁止美國公司向中國出售高階晶片和晶片製造軟體。此外,美國近期也禁止美籍人士為中國晶片公司工作,迫使晶片從業人員放棄美國護照,或放棄在中國的職業生涯,半導體大廠如科磊 (KLA Corporation)、科林研發 (Lam Research) 和東京威力 (Tokyo Electron) 等企業已經開始撤離在中國的美籍從業人員。
美國在2022年10月祭出新一輪的制裁措施,除了原有的邏輯 IC 領域限制外,新一版禁令還延伸至記憶體範疇,主要目的在於限制中國大陸取得先進運算晶片、研發超級電腦及建立製造先進半導體製程的能力,限制的對象除了中資企業外,還包含外資位於中國境內的生產據點也需要透過「逐案申請」方式,方能持續取得製造相關設備,而與資料中心、人工智慧、超級電腦相關高效能運算 (High Performance Computing,HPC) 領域的 CPU、GPU也須經過嚴格審查才可出口中國大陸,影響業者包含台積電、長江存儲、海力士SK等企業,分別在訂單、設備取得、生產許可、生產基地升級等項目受衝擊,不難看出美國制裁既深且廣,以阻止中國科技成長為最終目的。
在雙方持續角力下可能衍生新一波資安挑戰,近年高科技業者陸續遭駭客勒索,微軟指出在亞洲的攻擊軟體正在快速成長,在攻防資訊不對稱下,資安威脅與風險提升,而攻擊方式也從過去預程式化的攻擊轉為人為操作勒索軟體,即針對單一企業形成客製化、精準的入侵;像是Cisco在2017年供應鏈夥伴遭受駭客入侵帶來重大損失。此外,針對製造業的攻擊也越加頻繁,勒索病毒攻擊不只會造成工廠停止運作,還可能造成工安問題,業者必須同時兼顧營運技術伺服器、OT應用程式、控制系統的安全,與系統與裝置的連接性提升;但資安人才不足與網路安全技能缺乏等各種要素,使得業者要維持資安防護網並不容易,電子產業甚至須衡量晶片、元件及產線等資安防護需求,在網攻陰影下沒有絕對安全的地方。
美國資安政策出籠,從產品到平台皆為封鎖對象
上述措施多鎖定產業面層級,但地緣政治下的大國博弈已經成為2022年影響產業走向的關鍵因素。在這場大國博弈中,製造業者首當其衝,美國為領先者。為防止中國大陸與其盟友傷害美國國內產業、竊取機密資訊,美國端出一系列的防護措施,著重在資安佈局以防患於未然。這些政策的作法多為整合產業技術 (半導體、先進製造、5G)、同時指定特定企業如微軟、Google等配合政府監督機制。資安防護已成為跨黨派的共識,以下列舉兩種對產業有巨大影響之政策。
美國政府成立網路空間和數位政策局BCDP
軍民融合正逐漸在美國發生,來自於中國大陸與俄羅斯的威脅讓美國重新思考產業政策,近期,美國政府與科技業者的合作更為頻繁,例如收集網路各種威脅情報、阻止假消息流通、擬定先進技術的安全協議等。過去,資安威脅通常由其他聯邦機構處理,但在一連串資安事件,包含基礎設施Colonial Pipeline受到勒索軟體攻擊、針對雲端業者的惡意攻擊封包。讓資安成為國家首要任務,當前的形式是美國國務院於2021年成立網路空間和數位政策局 (Bureau of Cyberspace and Digital Policy,BCDP),由美國前海軍陸戰隊軍官Nathaniel Fick帶領,統管從民生到國防所有與資安與數位政策相關事務,同時強化與大型科技與資安業者的合作,透過政府與民間共同設立資安聯防機制,此舉也被視為美國正在重塑國家資安競爭力。
網路空間和數位政策局也與四邊安全對話 (Quadrilateral Security Dialogue,QUAD) 協作,將資安議題從美國延伸至盟國,包含針對新的聯合國網路犯罪公約進行談判、建立印太經濟區反勒索軟體合作機制、監控針對基礎設施/金融/企業的網路攻擊等,四方安全對話由美國、日本、印度和澳洲成立的非正式戰略合作機制。此外,網路空間和數位政策局也和31個國家在美國舉辦反勒索軟體會議後發布聯合聲明,參與國政府將採取行動避免勒索軟體中使用虛擬資產的商業模式和相關洗錢活動,同時計畫對虛擬資產的利用進行監管、監督、調查並採取行動。可預見的是,網路空間和數位政策局將會與盟國資安議題有更多合作。
美國公佈《2022年國家安全戰略》
2022年12月12日,美國白宮公布《2022年國家安全戰略》,發布時間在中國大陸二十大召開前,內容提及未來十年中國是「美國地緣政治最大挑戰」。值得一提的是,科技與製造業者成為報告重點之一,美國政府現在已經在科技與軍事發展、國安議題連成一體,所有技術與產品未來都可能被嚴格審視,必要是實施技術禁運,搭配資安標準作為後盾,也便於技術控管,避免前瞻科技落入競爭國家手上。《2022年國家安全戰略》具備兩大項目值得業者關注:強化製造業創新投資與建立強韌資安防護力,未來將可能由美國政府強力主導。
而在產業資安議題上,《2022年國家安全戰略》最重視的是供應鏈安全問題,根據美國身份竊盜資源中心的調查指出,2021年針對供應鏈源碼的攻擊次數增加41%,因此提升產業資安,特別是電子製造業的資安勢在必行,做法有二。第一為針對關鍵產業設立資安措施,例如電腦作業系統規範(如作業系統長期支援)、網路安全(如網路傳輸安全)、端點保護(如弱點掃描、惡意程式掃描、端點防禦機制、存取控制)、資訊安全監控;同時也強化工業控制漏洞,例如軟體、控制器、工業交換器、人機介面設備,這些設備一但癱瘓就容易造成嚴重損失。
第二為提升供應鏈可視性與資安,傳統產業供應鏈中所運用的企業資源規劃 (ERP) 與供應鏈管理(SCM) 解決方案多用於內部資訊流通,而企業在供應鏈風險下須建立上中下游廠商間的資訊互通,以防止供需失衡問題。其中,提升各環節的可視性為部署重點,在數位技術基礎上,如物聯網、人工智慧、5G、雲端的支援下,有效協調各供應商間的合作,降低非必要延遲,同時企業必須建立各種數據傳輸的標準,使供應鏈上下游廠商可以進行可信任與透明化的資訊交換,而這樣浩大的工程需物聯網設備的參與,而這些都是資安業者可強化之處。
台灣業者在美國政策下的發展機會
由於美國的管制範圍已從半導體延伸到人工智慧、微電子,以及量子電腦領域,同時也制定「對外投資審查機制」行政命令,審核流向特定中國大陸技術的資金,在軟硬體技術與資金的雙重夾殺下,台灣的製造業者可從中發現新市場。在技術與產品部分,關鍵基礎設施、網通、工控電腦、電子製造等產業可合組資安聯盟,網路防衛及通訊安全進行合作,如透過推動CMMC認證機制,一方面防止潛在國家支持的駭客組織入侵,一方面也可切入新興應用市場如電動車、人工智慧、5G、低軌衛星等產業鏈,將資安視為拓展未來市場的必要要素。
同時,也不難看出美國正在建立「資安之矛」以鞏固國家安全,2021年提出「軟體物料清單」(Software Bill of Materials,SBOM),要求向美國政府售出的軟體皆需要公開標明軟體內程式碼組成與來源,避險重滔Solarwind資安事件覆轍,須揭露項目包含供應商、軟體名稱、辨識碼、版本,對製造業而言,需擔心的並非如軟體物料清單,而是是否會將套用在美國政府的資安標準延伸至供應鏈上,不過,這也為台灣產業帶來一大機會:透過加入美國領導的國際標準來拓展新興應用市場。