羅克韋爾自動化因在華業務面臨美國調查——《華爾街日報》

羅克韋爾自動化公司位於密爾沃基的總部。圖片來源：Angela Peterson/密爾沃基哨兵報/今日美國網絡華盛頓——據美國官員和《華爾街日報》查閲的文件顯示，拜登政府正在調查全球最大的工業技術和信息公司之一羅克韋爾自動化是否通過其位於中國大連的設施，使美國關鍵基礎設施、軍事和其他政府資產面臨潛在嚴重網絡攻擊的風險。

根據該公司網站信息，這家總部位於密爾沃基的信息巨頭為包括國家電網、美國海軍、海岸警衞隊及聯邦政府其他部門在內的客户提供生產力提升軟件和網絡安全服務。

美國政府調查的重點是該企業大連分部的員工，他們可能接觸與上述計算機系統相連的軟件代碼。文件顯示，參與調查的包括能源部和國防部的監察長以及司法部商業訴訟部門。

根據一份記錄取證過程的調查活動備忘錄，調查人員正在審查可能允許從中國訪問美國政府及工業關鍵基礎設施與計算機系統的潛在漏洞。這份標註日期為1月24日的備忘錄詳細記錄了三個機構政府調查人員訪談舉報人獲得的證詞。

羅克韋爾自動化公司的一位發言人表示，公司尚未收到任何關於其在大連業務相關調查通知，但若收到將全力配合。她補充説，羅克韋爾的供應鏈、開發實踐和招聘流程均符合適用法律法規。

美國能源部及其監察長辦公室拒絕置評。司法部商業訴訟部門和五角大樓監察長辦公室未回應評論請求。

目前無法確定美國政府可能通過此次調查尋求何種補救措施或建議。調查尚處早期階段，最終可能不會對羅克韋爾採取任何行動。

根據調查備忘錄，當局正依據聯邦指令審查羅克韋爾大連業務的潛在問題，該指令限制中國等被視為國家安全威脅國家的供應商向聯邦政府提供技術和硬件。

美國政府調查機構對這家主要政府承包商在華業務實踐的關注，表明兩國關係已深陷相互猜疑的境地，同時也反映出美方對北京通過滲透美國計算機網絡提升技術實力和情報收集能力的擔憂。此次對羅克韋爾的審查，是繼美國政府全球圍堵中國電信設備製造商華為技術有限公司後的又一行動，美方聲稱華為因可能被中國政府強制要求提供數據而威脅美國國家安全。

羅克韋爾公司股價週三收盤下跌2.8%，報270.09美元。

備忘錄中，舉報人指控羅克韋爾僅通過大連設施中的中國籍員工進行代碼開發、技術支持和補丁更新（即修復軟件漏洞的更新）。大連是中國遼寧省南端的港口城市。

備忘錄指出，美國官員證實，與羅克韋爾有業務往來的一些公司和政府機構因此擔憂潛在的安全隱患。

主要擔憂包括：在大連工作的中國籍人員，或通過這些員工運作的中國政府，可能在漏洞修復前識別並利用羅克韋爾代碼中的漏洞入侵美國系統。

美國官員和文件並未表明羅克韋爾產品軟件代碼存在當前漏洞。

羅克韋爾自1994年起在大連開展業務，但近年來美中關係日益緊張促使美國修改法規。新規要求在中國、俄羅斯和伊朗等以激進網絡行動著稱的國家運營的企業，必須監控人員並限制當地員工接觸產品代碼。

美國近年來誓言要在網絡安全威脅觸及聯邦政府及其承包商網絡之前予以削弱或反擊。

在去年俄羅斯入侵烏克蘭引發全球譴責及西方制裁重創其經濟之際，許多美國企業已撤離俄羅斯。美國在中國的投資也處於政治風口浪尖，尤其是來自國會的壓力。

儘管部分美企已將業務轉移至其他地區，但由於中國龐大的市場及其在供應鏈中的核心地位，許多公司仍不願退出。

大連，位於中國遼寧省南端的港口城市。圖片來源：Alamy Stock Photo上月，美國商會警告稱在中國經營業務的風險正在上升，尤其是在北京實施新《反間諜法》的背景下，該法"對涉及國家安全的文件、數據或材料範圍進行了廣泛覆蓋"。

羅克韋爾首席財務官尼克·甘傑斯塔德週三表示，安全是首要任務，如有必要，公司將考慮將軟件業務撤出中國。

“這個問題是可以解決的，“甘傑斯塔德在奧本海默工業增長大會上表示，“我們認識到全球威脅形勢正在演變，我們正與美國政府密切合作，並將繼續密切監控環境變化。如果需要採取行動，我們當然會採取行動。”

關於該公司做法的擔憂首次浮出水面是在去年，當時備忘錄描述了羅克韋爾與多米尼恩能源公司南卡羅來納州分公司之間充滿爭議的合同續簽談判。多米尼恩是一家美國能源公司，從事電力與天然氣的生產、傳輸和分銷。

根據備忘錄及熟悉談判的官員所述，當多米尼恩試圖在合同中加入數據泄露報告要求、第三方安全評估以及對來自中國、俄羅斯和伊朗等國的計算機軟件支持進行限制等條款時，談判陷入了僵局。

據美國官員和備忘錄顯示，羅克韋爾向多米尼恩表示，所有在中國編寫的代碼都會由該公司美國員工進行漏洞檢查和防範網絡攻擊的測試，這一流程得到了羅克韋爾女發言人的確認。

調查詳細記錄顯示，羅克韋爾告知多米尼恩，其內部安全與合規實踐使得對方要求的條款變得多餘。

備忘錄稱，羅克韋爾還向多米尼恩説明，其設備通過內部網絡安全計劃進行防護，既無外部機構審查代碼或系統，多米尼恩也無法自行審查代碼。

最終多米尼恩與羅克韋爾簽署了截至3月31日的六個月短期協議，而非原計劃的五年期合同。

一位熟悉羅克韋爾安全合規實踐的人士對談判描述提出異議，但未提供具體細節。

多米尼恩公司發言人亞倫·魯比證實，備忘錄中關於近期與羅克韋爾合同談判的細節是真實的。

由於短期協議已到期，雙方均未對當前合同談判進展置評。

“羅克韋爾自動化為我們部分設施的傳統控制系統提供維護服務，“魯比表示，“這些服務均不涉及對我們系統的網絡、遠程或無人值守訪問。此外，我們不接受羅克韋爾在中國、俄羅斯、伊朗、白俄羅斯或其他敵對國家的任何服務。”

羅克韋爾女發言人表示，該公司在中國的軟件開發工作"規模有限，主要集中於維護少量上市多年的成熟產品，這些產品都經過多年開發和測試。”

網絡安全專家指出，從評估網絡安全風險的角度看，產品是否成熟並不影響風險存在，因為漏洞仍可能存在。“不存在所謂成熟代碼，“哈佛大學肯尼迪政府學院計算機安全專家布魯斯·施奈爾表示。

當前舉報人的指控延續了2021年和2022年國土安全部對羅克韋爾軟件漏洞的通報。美國土安全部網絡安全和基礎設施安全局曾三次發佈公告，針對羅克韋爾產品中可被攻擊者利用來向受影響系統注入代碼的漏洞提供相關修復方案。

羅克韋爾發言人表示，這些安全公告是其既有的漏洞披露計劃的一部分，公司正與政府密切合作解決相關問題。

據其官網顯示，自1997年以來，羅克韋爾自動化的產品和軟件已成功安裝於美國海軍及海岸警衞隊多艘艦艇。

官網信息顯示，自1988年進入中國市場以來，羅克韋爾自動化業務迅速擴張。目前該公司在中國34個城市擁有2000名員工，設有上海全球研發中心、大連軟件開發中心及兩家生產基地。

根據調查結果及接受《華爾街日報》採訪的美國官員説法，羅克韋爾與數十所中國高校的長期合作關係，以及其中國員工與軍工院校的關聯引發了美方擔憂。多名羅克韋爾中國區員工在網絡公開資料中顯示畢業於或曾任職於"國防七子"院校——這些高校因與中國解放軍關係密切而聞名。

專注全球情報分析的科技初創公司Strider Technologies數據顯示，羅克韋爾部分中國員工與中國軍方關聯高校、國有企業、政府人才計劃及其他政府機構存在直接聯繫。

《華爾街日報》查閲的統計數據顯示，羅克韋爾中國現有員工中至少有217人與承擔國防科研任務的軍民融合高校存在直接關聯，這些院校或被指定為國防目標支持單位，或由國防主管部門直屬管理。另有至少15名現員工當前或曾經與政府管控機構存在直接關聯。

“企業處於美中戰略競爭的前線，”Strider公司首席執行官格雷格·萊韋斯克表示，“它們正日益成為試圖破壞美國關鍵基礎設施的國家支持行為者的目標或工具。”

一位熟悉羅克韋爾公司安全與合規操作的人士稱，該公司的招聘流程包括背景調查及其他第三方入職前審查。該人士拒絕就具體員工或Strider的研究置評，也未詳細説明任何人員審查程序。

聯繫Vivian Salama請發送郵件至[email protected]

本文發表於2023年5月11日印刷版，標題為《羅克韋爾因在華運營接受調查》。