民進黨立委林俊憲接獲匿名檢舉指出,資安業者Fortinet有偽造產品產地前科,將中國製造改成美國製造,遭到美國司法部罰款,而臺灣機敏機關近六年來採購 Fortinet產品將近5億元。

圖片來源: 

林俊憲立委辦公室提供

民進黨立委林俊憲接到匿名檢舉,今(17)日召開記者會踢爆,資安業者Fortinet具有中國背景,董事多為中國人,該公司在2019年4月,曾爆發將中國製產品偽裝成美國製賣給美國軍方,遭到美國司法部處罰,要求賠償54.5萬美元(約新臺幣1635萬元)。

林俊憲指出,交通部、機場、國防部、中科院、調查局及國安局等機敏單位皆有採購Fortinet產品,近六年政府採購Fortinet產品近5億元,還不包含專案採購部分。因為這類偽裝外資的中資公司很難察覺,而他也擔心,這類偽外資公司的產品採購,可能變成國家資安的破口。

為了符合臺灣政府資訊採購共同供應契約的規定,不得採購中國製造的資安產品,臺灣Fortinet總經理陳鴻翔表示,該公司在共同供應契約的採購都是軟體,若有搭配軟體而需額外採購硬體,則一律都是臺灣下單,硬體只會在臺灣、美國和加拿大製造,該公司也會提供相關的報關資料證明。

至於,立委踢爆該公司去年4月,有員工偽造產品產地來源,從中國製造改成美國製造遭罰一事確實為真,但陳鴻翔表示,該公司事後,對於產品製造地的管控更為嚴格,要求產品部門在出貨時,從流程上去確認產地標籤為真。

立委踢爆Fortinet有偽造產品產地前科,創辦人與中國官方關係良好

林俊憲在記者會中表示,Fortinet創辦人謝青是美籍華人,董事會成員多為中國人,負責人謝青更出現在中國官方發行的建國65周年紀念肖像郵票中,與中國官方關係良好。他認為,在Zoom事件發生後,大家開始注意到這類由中國人實際掌控,卻設立在美國的科技公司,因為這類公司並不符合臺灣現行對中資的定義,這類公司有可能成為國家資安的大破口。

此外,林俊憲則指出,Fortinet在去年曾經發生,員工將中國製產品重貼標籤後,偽裝成美國製造,再銷售給美國軍方多個部門。此事遭到美國司法部依照False Claims Act(虛假索賠法)裁罰1,635萬元。

他質疑,包括國防部、中科院、國安局等臺灣機敏單位採購Fortinet設備及軟體,這些機敏單位難道不害怕有中國製造的資安產品,被偷渡進臺灣機敏機關嗎?他認為,這些設備就像是特洛伊木馬,潛伏在政府機關,隨時可能引爆資安危機。

林俊憲更指出,政府機關近6年來,共同供應契約就採購Fortinet將近5億元的設備,還不包括專案招標部分,光是國防部、國安局就個別採購一千萬元、近50項設備,目前雖不確定是否使用於機敏用途。

他說,工業局共同採購資安管理機制也規定,原廠或代理商屬於「中國(含港澳)廠商」、「第三地含中資廠商」或是「投審會核可來臺投資之中資本地廠商」都不得參與政府共同供應契約的招標,而且在合約中也清楚載明,產品若為中國製造得終止契約。林俊憲認為,類似Fortinet的外資偽造產地情況,除非透過檢舉,政府很難主動察覺。

政府全面盤查中,一旦清查屬實,政府將強制產品下架

對於林俊憲踢爆Fortinet產品是中國製造一事,行政院資通安全處處長簡宏偉表示,政府共同供應契約不允許產品貼牌行為,也排除中國製產品,資安處也會清查各機關產品,並發布資安疑慮產品訊息。如果相關資安產品未達汰換年限,則會要求該類產品不要在公務環境中使用。

另外,工程會表示,貼標行為涉及政府採購法101條,一旦發生類似行為,會將該廠商予以停權;另外針對國安採購部分,工程會建議,可以透過限制廠商董監事的國籍身分,以避免中資魚目混珠。

至於經濟部則指出,陸資公司來臺投資應經許可,違法可罰款或撤資。目前已經公告陸資來臺投資產業清冊,要求來臺投資者,可在公告清冊範圍內投資,明確限制禁止投資範圍。而工業局也表示,Fortinet標示產品來自美國,會進一步清查,若確認產品來自中國,則會要求機關下架該公司資安產品。

政府共同供應契約採購都是軟體,搭配硬體是臺灣下單、美國製造

陳鴻翔表示,該公司創辦人兼執行長謝青(Ken Xie),以及創辦人兼技術長謝華(Michael Xie)兩兄弟的背景,的確是北京出生的美籍華人,但兩人從創業之初,就是投身網路安全產業的創業;而該公司董事會成員,除了兩兄弟外,其餘的華人背景,多為美國矽谷的投資人。

另外,公司高階管理階層中,除創辦的兩兄弟外,其餘多是美國人負責公司營運。陳鴻翔以Fortinet資訊安全長Philip Quade為例,他在美國國安局(NSA)工作多年,歷任NSA 資訊保障署(Information Assurance Directorate)的營運長、資訊營運技術中心高級技術組主管、美國參議院和國家情報局局長辦公室專業人員等職務。

Fortinet是2009年就在美國那斯達克公開上市的公司,嚴格遵守美國政府的法遵要求和規定,雖然,研發部門遍佈加拿大、美國聖荷西、臺灣和北京等四個地方,其中,北京研發以WAF產品為主,但陳鴻翔表示,雖然有不同地方專注的研發項目不同,最終都會在美國做最後的整合性測試、功能性測試、品質確保(QA)以及最後的軟體釋出,他說:「Fortinet軟體都是美國製造,即便是北京負責研發的WAF軟體,最終都還是在美國做最後的整合和釋出。」

陳鴻翔指出,為了符合臺灣政府資訊產品採購的規定,工業局的共同供應契約採購都是資安軟體,如果要搭配軟體而需採購硬體,一律都是臺灣下單,硬體設備只會在臺灣、加拿大和美國三地製造。

Fortinet竄改低階產品產地標籤遭罰,因低階產品只有中國製造

根據美國司法部的公告指出,Fortinet負責供應鏈管理的員工,在2009年1月~2016年秋季的七年多時間,竄改某些產品的產地標籤,以符合「貿易協定法」(Trade Agreements Act,TAA)規定,以利將這些產品透過經銷商轉售給美國政府。因此,美國司法部則在2019年4月,處罰Fortinet罰款40萬美元,而該公司必須另外提供美國海軍陸戰隊,價值145,000美元的額外設備。

陳鴻翔指出,Fortinet去年的確爆發有員工竄改產品製造產地的標籤,將中國製造改成美國製造而遭到美國司法部門處罰,而這些遭到竄改產地標籤的產品,事後追查發現,遭到竄改產地標籤的產品,都是Fortinet在中國製造的低階產品。

他表示,因為美國政府要求政府採購相關的資安產品不得在中國製造,但Fortinet低階產品卻只有在中國生產製造。所以,Fortinet員工取巧,為了把這些低階產品銷售到美國政府部門,便竄改只在中國生產低階產品的產地標籤。他也說,經歷此一事件後,該公司事後對於產地標籤的管控更為嚴謹,現在產品部門同仁在出貨時,都必須從流程去確認產品出廠的產地標籤為真後,才能出貨。

至於林俊憲宣稱,Fortinet創辦人謝青入選中國建國65週年紀念肖像郵票,與中國官方關係密切。陳鴻翔認為,謝青的確來自中國,但多年前早已取得美國國籍,該紀念郵票主要是表揚65位華人楷模,謝青是以「矽谷(硅谷)華人圈最耀眼的明星」做相關的背景介紹。他說,以謝青在資安業的創業資歷,的確是某種華人典範無誤。

 

民進黨立委林俊憲踢爆,資安公司Fortinet創辦人兼執行長謝青與中國官方關係良好,最佳的例證就是謝青入選中國建國65週年紀念肖像郵票。不過,臺灣Fortinet總經理陳鴻翔表示,謝青是以「矽谷華人圈最耀眼的明星」作為65名華人楷模之一,以其資安創業資歷,作為華人楷模並不為過。


Advertisement

更多 iThome相關內容