美國最近通過的針對華為和其他製造商的硬件的聯邦法律可能會對電信公司以外的行業領導者產生安全隱患,而電信公司是此類產品的最常見購買者。
這項新法律被稱為《安全與可信通信網絡法》,專門針對聯邦官員認為“構成無法承受的國家安全風險的實體”的公司生產的設備。
從表面上看,新法律似乎不屬於企業安全領導者的範圍,但專家表示,首席信息安全官(CISO),尤其是那些與聯邦政府合作或將來可能尋求政府合同的CISO,需要引起注意。
美國禁止華為和其他企業加入聯邦基金
該法律從根本上禁止以任何方式使用聯邦資金從不受信任的供應商那裡購買或維護電信設備或服務,並特別指定包括華為在內的中國供應商。它還提供了聯邦資金來幫助少於200萬的小型客戶通信供應商更換此類供應商的設備。該措施還要求政府編制和共享一份其認為存在安全風險的供應商清單。
特朗普於2020年3月12日簽署了該法律,眾議院於12月批准了該措施,參議院於2020年2月一致投票通過了該法案。
CSO和聯合創始人特里·鄧拉普(Terry Dunlap)表示:“該法案禁止使用由FCC(聯邦通信委員會)管理的計劃提供的聯邦補貼,不得與可疑通信設備提供商名單上的任何實體進行業務往來。”鄧拉普和其他專家說,新的聯邦法律主要影響電信公司,由於無法負擔其他品牌裝備而希望從華為購買設備的小型農村承運人可能受到的影響最大。
他們認為,華為在美國農村發現了肥沃的市場。鄧拉普說,他認為最近的聯邦行動不會直接影響許多CISO,“除非您是那些購買或購買違禁設備的公司的CISO”。
美國禁令
兩黨合作措施的主要內容解決了美國對5G供應鏈的擔憂,以及外國公司製造的網絡設備可能包含對美國使用的安全漏洞的可能性。
美國參議院商業,科學和運輸委員會委員丹·沙利文(R-阿拉斯加)表示:“向我們的公共和私有網絡及系統設備提供5G技術的外國對手所構成的安全風險不可低估。”
美國政府的這些行動似乎並沒有引起其他盟友效仿。
例如,其他國家對此沒有同樣的關注,儘管美國禁止了華為,華為和其他中國製造商仍在這些國家使用。
另外,華為對《國防授權法》提出質疑。一名美國法官於2020年2月拒絕了華為的訴訟。華為指控聯邦對其設備的禁令將使美國處於不利地位。
對於華為和其他外國設備製造商的設備是否存在威脅,也存在疑問。
ABI Research的研究主管兼該公司的電信網絡覆蓋經理Dimitris Mavrakis指出,尚未證明華為在通過其技術進行竊聽或進行任何有意的惡意活動,並且全世界的運營商都真誠地表示,華為正在為其客戶提供設備和服務而沒有後門。
Dimitris Mavrakis說:“美國政府似乎認為他們在惡意行事,另一方面,美國政府可能擁有我們不知道的數據和分析。”
CISO需要審核供應商?
Dimitris Mavrakis認為,法律已將華為趕出了美國市場。這意味著,儘管華為是世界上最大的電信設備製造商和領先的智能手機品牌,但CISO並不容易從華為等供應商那裡購買。除聯網設備和智能手機外,華為和中興還製造和提供路由器和交換機。但是,其他人則表示,CISO應將聯邦政府對與供應商相關的安全風險的擔憂視為一個提醒,以提醒人們將廣泛的安全審查流程納入採購實踐。
Dimitris Mavrakis說:“無論如何,他們都應該注意自己的供應鏈風險。”
儘管每個組織的要求是不同的,但應該對可能利用多個組件的硬件或應用程序有深入的關注,應該向供應商索要實施組織計劃使用的產品的組件清單。
足以可見,美國試圖打壓一家企業,受影響的絕不僅僅是華為,自家企業也跟著遭殃。
