今天在其他媒體都可以看到關於立委質疑華為有且竊取情資、資安外洩的國安疑慮,美國、日本、紐西蘭、澳洲、英國與部分歐盟國家,都已經禁止、或者正研議禁止政府與國內電信商採購中國電訊設備大廠華為的產品,新北市政府卻連續三年接受華為公司的贊助,辦理新北耶誕城的新聞。
新聞最後也延伸提到手機是否安全的問題。

針對這新聞,我們詢問了訊崴技術(華為技術有限公司產品和解決方案的台灣代理)及財團法人台灣電子檢驗中心。根據訊崴的回覆,在台灣上市的所有華為設備,都會通過NCC的型式認證
NCC認證屬於硬體部分,內建軟體的安全檢驗,則有中華民國資訊安全學會在推動,已經通過具軟體資安檢測能力的實驗室,包括財團法人台灣電子檢驗中心、中華電信電信研究所(測試中心)、安華聯網科技、財團法人電信技術中心、香港商立德國際商品試驗有限公司等。

目前軟體資安檢驗,是採廠商自主送測,並沒有強制規定一定要取得認證才能上市。
而今天相關新聞裡提到的ESS,是所謂的「智慧型手機系統內建軟體資通安全等級標章」(Embedded Software Security),簡稱E.S.S.標章。
什麼手機有取得ESS標章,在這個公開網站可以查詢

但是大家點進去之後一定會覺得很奇怪,市面上手機那麼多,為什麼只有5台名列通過名錄裡?


根據我們詢問業者以及財團法人台灣電子檢驗中心,因為業者並沒有積極的自主送測,以至於看到的通過名錄只有5筆。
至於業者為何沒有積極自主送測,原因在檢測過程相當耗時,前置加上檢驗過程,前後可能需要三個月左右,且認證費用也偏高,這讓業者送測意願不高。
因此沒列在這份名錄裡手機,不代表就是沒通過軟體資安認證,有可能是廠商沒有送測,也有可能是測了沒過,但我們沒有公開資訊得知是哪一種。

為強化手機資訊防護安全,NCC也已正式發布「智慧型手機系統內建軟體資通安全檢測技術規範」,作為推動智慧型手機內建系統資安檢測的基準。
針對智慧型手機出廠預載軟體、銷售商加載軟體,及無圖示軟體等三類軟體進行規範,確保使用者資料不會在未經授權情況下,遭到系統內建的軟體盜取及不當使用。

台灣電子檢驗中心曾提到,為符合不同安全需求,手機內建軟體資通安全(ESS)等級可分為初、中、高三級。(也就是大家在名錄表格中看到的資通安全等級)
~初級著重於個人隱私相關資料安全,
~中級則進階要求所有資料在使用、儲存及傳輸時的保護機制,
~高級更進一步要求應確保核心底層不被竄改或被不正當的擷取資訊。
大家可對照前述ESS通過清單查詢裝置認證等級。

現在大家用手機的資安意識比較高了,若實驗室的認證過程也能兼顧廠商及消費者需求,廠商也願意積極送測,或許消費者在選購手機時,就能降低資安疑慮,用得更安心。