在两年前传思科设备被美国国家安全局国(NSA:National Security Agency )监控后,思科现在正在努力重建每一位潜在客户对其产品的信任。
思科现在对供应商提出了更严格的安全要求,还推出了测试程序(beta program),可允许客户在购买之前在高度安全环境下分析其产品。
思科的这些努力旨在提供更多透明性,平息越来越多对供应链如何无意间被间谍和网络罪犯利用的担忧。
“我担心控制、间谍和破坏”,思科全球价值链首席安全官Edna Conway在最近的一次访谈中表示,“我们担心被植入病毒的解决方案、伪劣方案和知识产权滥用。”
思科也许已经不小心成为2013年美国国家安全局(NSA:National Security Agency )国防项目承包商斯诺登泄露的机密文件的受害者。现在网上流传一张图片显示一次情报机关“拦截”行动中,美国国家安全局国(NSA:National Security Agency )员工在贴了思科标签的纸箱旁边。
该次拦截行动涉及秘密拦截运输途中的高科技设备,在思科产品到达客户之前修改思科设备设置。
因此,中国鼓励国内采购本土供应商的设备,而思科的市场份额随之下降。2015年财年,思科在中国的营业额同比下降21%。NSA事件说明了单个信息如何影响一个大公司的品牌声誉和销售,就像打开了潘多拉的盒子。
思科严词力证自己没有像很多其他美国公司猜测的那样和NSA合作。思科CEO John Chambers在2014年向奥巴马写了一封信,警告说如此的间谍行动严重损害了客户通讯产业的的信任。
虽然是世界上最大的路由器和网络设备商,思科连一个工厂也没有。它的产品——至少那些实体硬件产品——几乎全都是外包的。思科拥有2万5千家供应商。
思科针对甄选供应商开发了184条安全规格要求,涵盖如制造、治理、资产管理,Conway表示。
应用哪一条安全要求取决于该供应商供应哪一种产品给思科。举个例子,PCB供应商可能被要求使用基于角色的访问控制( role-based access )系统,通过安全认证才能使用知识产权,Conway补充道。
其他的要求围绕个人安全性,比如如何培训员工,或者工作产生变动或离职时将走哪些流程。
思科还受惠普和微软等技术公司启发,允许客户在安全环境下测试和检验源代码。
思科计划明年年初在卡罗莱纳州北部三角科研园(Research Triangle Park)开设称之为技术验证服务(Technology Verification Service)的工厂。对此感兴趣的客户可以付费享受该服务。该收费服务符合美国出口控制条规。
思科“可以声明客户可以大方信任我们,这项服务就是证明”, 思科业务关键系统总监Nigel Glennie表示。
华为一直饱受指控其设备留有漏洞,或被中国情报机关植入间谍代码。
澳大利亚在2012年华为为澳大利亚的国家宽带项目供应设备。该项目旨在跨全国提供高速、光纤互联网连接。
美国国会同一年发布一则报告宣称华为和中兴将为美国基础设施带来巨大威胁。因此,华为设备从那以后从未在美国网络市场取得大进展。
网络设备的敏感性主要由于大量的互联网流量流经路由器和交换机,因此隐私和安全性变得尤为重要。
这也是为什么网络设备如此吸引间谍机构。2013年12月德国出版的《Der Spiegel》(明镜)杂志用50页的目录列出了哪些硬件和软件工具曾被NSA用来渗入网络设备。
其中一种被称作JETPLOW的软件是专门设计来植入思科PIX和ASA系列防火墙,植入后后就可以获得访问该设备的全部权限。
但是企业面对的还有更大的威胁——如有组织性的网络犯罪,而不仅仅是该担忧国家支持的间谍活动。Gartner网络和通讯分析师Joe Skorupa表示。
“思科设备可能设计了3千万左右代码行数,客户使用思科设备不太可能完全被监控。证明一款产品没有被间谍机构篡改就好像试图证明上帝的不存在一样荒唐。”Skorupa表示。