Роман Хіміч, дослідник питань безпеки та довіри в цифровому середовищі

РНБОУ розпочала вивчення питання про доцільність заборони китайського обладнання в українських мережах. Як випливає з нещодавнього інтерв'ю директора департаменту розвитку фіксованих мереж МЦТ, в уряду немає власної позиції щодо цього предмета. Поки що вона є тільки у профільного комітету Ради і, мабуть, операторів мереж, чию думку зараз з'ясовує МЦТ.

На жаль, доводиться вкотре констатувати, що зусилля професійної спільноти з висвітлення того, що відбувається в індустрії, дають незначний результат. Два роки тому, у 2021-му році учасниками ринку було ініційовано процес імплементації в Україні європейських підходів до управління ризиками. Автором цієї статті та його колегами було виконано велику роботу з перекладу та адаптації європейського регулювання. Однак минуло менше двох років і все це, здається, пішло в пісок. Оскільки немає пророків у своїй Вітчизні, давайте подивимося на досвід ініціаторів усіх цих заборон, а саме США.

Оприлюднена в жовтні 2022 року доповідь одного з американських think tank свідчить про кризу, якщо не провал політики витіснення зі США китайських виробників та технологій. Як випливає з документа, органи влади США так і не спроміглися створити дієздатні процедури виявлення та заборони високотехнологічних продуктів, створених із використанням «недовірених»технологій й виробників. З огляду на вже трирічні зволікання з видаленням китайського обладнання з мереж мобільного зв'язку можна говорити про провал відповідних зусиль федерального уряду.

Документ під назвою "Banned in D.C. Examining Government Approaches to Foreign Technology Threats"/"Заборонено в окрузі Колумбія: вивчення підходів уряду до іноземних технологічних загроз»підготовлено Центром безпеки та новітніх технологій/Center for Security and Emerging Technologies при Georgetown University's Walsh School of Foreign Service. Він присвячений обговоренню результатів політики і федеральної, і регіональної (штатів, округів і окремих муніципалітетів) влади щодо заборони т. зв. недовірених постачальників, продуктів і технологій. Основним джерелом загроз такого роду, як звичайно, названо Китай.

Зміст доповіді, як мінімум, ставить під сумнів і багаторічну риторику офіційних осіб Сполучених Штатів, і фактичний результат здійснюваної ними політики. Виявляється, приватні компанії та бюджетні установи США продовжують купувати продукти і послуги у китайських компаній, які внесені в різного штибу "чорні списки". Дослідники виявили 1 681 орган державної влади та місцевого самоврядування, які в період із 2015 по 2021 рік купували обладнання та послуги підсанкційних китайських компаній Huawei, ZTE, Hikvision, Dahua і Hytera. У кожному штаті, за винятком Вермонта й округу Колумбія, хоча б один місцевий орган влади відзначився подібними закупівлями.

Діаграма 1. Кількість угод державних і місцевих органів влади щодо підсанкційних продуктів із КНР за штатами, 2015-2021 роки (включно з округом Колумбія)

У сукупності мали місце 5700 контрактів із широким спектром обладнання, включно зі смартфонами, камерами спостереження, температурними сканерами, портативними радіостанціями та мережевим обладнанням. Дослідження спирається на дані, надані компанією GovSpend, що відстежує закупівлі федеральних, державних і місцевих органів влади по всій країні. Їхня сукупна вартість склала приблизно 45,2 млн доларів США.

Автори доповіді наполягають, що "хоча масштаб операцій може здатися незначним з огляду на вартість, він значний з точки зору потенційного ризику. Кожна одиниця недовіреного обладнання є потенційною точкою входу в мережі користувачів, незалежно від її вартості".

Діаграма 2. Кількість контрактів державних і місцевих органів влади щодо підсанкційних продуктів із КНР, 2015-2021 роки (включно з округом Колумбія)

Доповідь, з одного боку, містить низку показових зізнань. З іншого, її автори старанно балансують, намагаючись не сказати занадто багато, не договорюючи навіть цілком очевидні, добре відомі в професійному середовищі речі.

А чи є хлопчик?

Доповідь визнає, що наявність вразливостей у продуктах китайських компаній не є підставою звинувачувати їх у наявності наміру на створення т.зв. backdoors. Ба більше, прямо говориться, що "жодна технологія не є абсолютно безпечною, і китайські хакери неодноразово доводили свою здатність зламувати урядові мережі, використовуючи наявні вразливості. Ці більш традиційні порушення в багатьох випадках легше організувати, ніж атаки на ланцюжки поставок з використанням бекдорів, і вони передбачають менші витрати". Попросту кажучи, використання backdoors не є ані обов'язковим, ані навіть кращим способом кібератак.

Доповідь вказує на ризики використання будь-яких іноземних технологій, оскільки персонал компаній-виробників, який їх обслуговує, сам по собі є джерелом ризику. У разі його вербування противником співробітники цих компаній так само можуть використовувати свої повноваження для атак на комп'ютерні системи та мережі. "Без належних запобіжних заходів будь-яка організація, що використовує іноземні технології, схильна до цих ризиків", - констатують автори доповіді.

Визнаючи, що ризикам компрометації піддаються будь-які продукти закордонного походження, автори уникають доводити свою думку до кінця. Як показала практика, продукти американських компаній нічим не відрізняються від усіх інших і дають хакерам достатньо можливостей для успішних атак. Через це виділення "іноземних»продуктів має небагато сенсу.

Показовим є один із фрагментів доповіді, де в одному реченні повідомляється, що "численні місцеві органи влади стали жертвами китайських хакерів під час злому даних Microsoft Exchange Server на початку 2021 року". Наступне речення стверджує, що "якщо китайський уряд або інші конкуренти використовуватимуть іноземні технології в такий спосіб, тисячі державних і місцевих органів влади можуть стати жертвами потенційно руйнівних зломів". Тим часом Microsoft Exchange Server є продуктом американської компанії, яка, таким чином, виявилася джерелом не потенційних, а реальних проблем.

Кілька показових зізнань свідчить про нікчемність звинувачень, висунутих на адресу китайських виробників. "Хоча керівники органів національної безпеки часто обговорюють загальні ризики, пов'язані з обладнанням Huawei та інших компаній, вони рідко повідомляють подробиці про конкретні вразливості або порушення, пов'язані з конкретними продуктами. З огляду на відсутність ясності, керівники штатів і місцевих органів влади можуть вагатися, чи варто витрачати енергію, ресурси та політичний капітал на усунення ненадійних технологій", - підтверджують давно відомий у професійному середовищі факт американські дослідники. За п'ять років "хрестового походу»проти Huawei офіційні особи уряду США не змогли назвати жодного інциденту, документованого належним чином.

З огляду на фактичну відсутність доказів злого наміру китайських виробників, не викликає подиву наступне твердження: "Багато державних організацій не мають достатніх компетенцій для розуміння й усунення подібних загроз, а ті, що мають, можуть віддавати пріоритет усуненню безпосередніх загроз, як-от ransomware, а не абстрактніших ризиків, що створюються іноземними продуктами". Евфемізм "абстрактні ризики" вказує на фактичну відсутність доведених загроз.

Гроші, гроші, гроші

Однією з причин провалу нинішньої політики усунення китайських продуктів і технологій доповідь називає надмірні витрати. "Однією з основних перешкод є те, що заборона на закупівлі може збільшити витрати на придбання обладнання. Китайські продукти зазвичай дешевші, ніж аналогічні у некитайських компаній, що робить їх привабливим варіантом для державних установ, які відчувають брак коштів. Тому заборона на використання дешевого китайського обладнання та примус державних установ купувати дорожчі, але надійніші альтернативи збільшує витрати на ІТ. Витрати будуть ще вищими, якщо відомствам доведеться замінювати продукти, які вже перебувають у їхніх мережах".

Особливо чутливі до ціни питання місцеві громади в особі муніципалітетів, округів і влади штатів. Багато з них, якщо не більшість, не перший рік перебувають у ситуації перманентної бюджетної кризи і змушені економити буквально на скріпках. Як результат рішення про усунення китайських продуктів і технологій та відповідні зусилля зосереджені на федеральному рівні. Тільки п'ять штатів - Флорида, Джорджія, Луїзіана, Техас і Вермонт - ухвалили відповідні політики. Однак і вони, як визнається в доповіді, "не структуровані для ефективної протидії загрозам іноземних технологій".

Окремою проблемою є брак у державних і бюджетних установ досвіду і знань, необхідних для успішного вилучення та заміни китайського обладнання. Доповідь визнає, що "відділи кібербезпеки в цих організаціях, як правило, не мають достатнього фінансування і штату співробітників (якщо вони взагалі існують), а ті, хто має в своєму розпорядженні ресурси, імовірно, віддають пріоритет більш нагальним питанням безпеки, таким як боротьба з тероризмом". "Тому не слід очікувати, що державні та місцеві органи влади будуть активно замінювати іноземні технології без федеральної підтримки", - підкреслюють автори.

Тим часом із федеральною підтримкою все дуже погано. Єдина програма компенсації для приватного сектора буксує третій рік. 2020 року Конгрес підтримав виділення приблизно $1,9 млрд. для компенсації втрат регіональних операторів мобільного зв'язку, зумовлених заміною обладнання Huawei і ZTE. Спочатку учасники ринку запросили понад $5,6 млрд, проте влада відкинула більшу частину заявок. Тепер ці запити визнано не просто обґрунтованими, але недостатніми. Уже узгоджені кошти вирішено спрямувати операторам з абонбазою не більше ніж 2 млн. підключень як найбільш вразливій категорії приватних компаній. Регіональні оператори досі не отримали жодного долара з цих коштів, відповідно, не замінили жодної одиниці китайського обладнання.

Варто зазначити, що чинні політики не передбачають покриття витрат від заміни продуктів Hikvision, Dahua, Hytera та більшості інших підсанкційних компаній. Якщо це обладнання буде включено в програму, запити на відшкодування витрат будуть набагато вищими.

"Заміна кожного екземпляра ненадійного обладнання, встановленого наразі в американських мережах, неможлива, тому ресурси мають бути спрямовані в ті сфери, де вони матимуть найбільший вплив. (...) Програми "Вилучити і замінити" відволікають ресурси від інших державних послуг, таких як освіта та інфраструктура. Політики повинні розглянути компроміси, пов'язані з цим перерозподілом", - резюмують один із розділів доповіді її автори.

87 тисяч ліцензій на тиждень

У доповіді детально висвітлюється ще одна ключова проблема нинішньої політики - надмірна трудомісткість й низька ефективність адміністративних процедур. Ланцюжки поставок високотехнологічних продуктів і послуг, які підлягають моніторингу на предмет виявлення та усунення «недовірених»технологій, дуже великі й заплутані. Вони охоплюють десятки тисяч компаній, розкиданих по всьому світу, а зв'язки між ними не завжди очевидні. Обладнання, вироблене однією компанією, може містити компоненти, отримані від багатьох різних постачальників і продаватися під маркою іншої компанії.

Наприклад, камери, вироблені китайською компанією Dahua Technology, що займається системами відеоспостереження, продаються і під брендом Dahua, і під торговими марками дочірніх компаній, таких як канадська Lorex. Крім цього, Dahua виступає як OEM-виробник для десятків інших вендорів, продаючи їм продукцію, яка потім перепаковується і продається під іншими брендами. "Подібні угоди, поширені в технологічній галузі, ускладнюють для урядів, приватних компаній та інших споживачів визначення того, чиє саме обладнання та послуги вони купують", - пояснюють автори доповіді.

Ідея контролювати життя гігантської індустріальної екосистеми передбачає документообіг неймовірних масштабів. Комітет з іноземних інвестицій у США, який розглядає іноземні інвестиції в американські компанії на предмет загроз національній безпеці, у період з 2008 по 2020 рік розглядав у середньому 152 справи на рік. Якщо дотримуватися наявного законодавства про протидію недовіреним постачальникам і продуктам, Міністерству торгівлі США необхідно розглядати тисячі, якщо не десятки тисяч угод щодня.

Згідно з внутрішніми оцінками американської адміністрації, які згадуються в доповіді, до 4,5 мільйонів американських підприємств імпортують іноземні технології, що підлягають нагляду. Якби кожне з цих підприємств подавало лише одну заявку на отримання відповідної ліцензії на рік, Міністерство торгівлі було б зобов'язане обробляти до 87 000 ліцензій на тиждень. Тим часом Бюро промисловості та безпеки у складі Міністерства торгівлі, яке відповідає за дотримання антикитайських санкцій, наразі має в своєму розпорядженні лише 16 посад із річним бюджетом близько $4,7 млн, виділених на адміністрування санкційної програми. У бюджетному запиті на 2023 рік бюро запитує Конгрес про ще 114 посад і $36,2 млн. Досі невідомо, чи буде цей запит задоволений законодавцями.

Доповідь визнає, що федеральне законодавство, націлене на усунення китайських технологій, створює серйозні проблеми для приватного сектора. "Компаніям і так нелегко йти в ногу зі швидкими технологічними змінами, а відповідно до цих правил вони ризикують загальмувати або зовсім заблокувати ІТ-проекти за рішенням федеральних регулюючих органів. (...) Наприклад, розділ 889 забороняє федеральним агентствам укладати контракти з підрядниками, які використовують зазначені технології, навіть якщо це обладнання не бере участі у виконанні контракту. Таким чином, цей запобіжний захід фактично є забороною на закупівлі як для федеральних агентств, так і для федеральних підрядників. З огляду на витрати, пов'язані з виконанням цієї постанови, компанії, які ще не продають продукцію федеральному уряду, можуть не захотіти або не мати можливості робити це (...) Залежно від своєї структури, заборони на закупівлі можуть позбавити постачальників стимулу до ведення бізнесу з державними установами".

Усе це призводить до того, що на тлі гранично рішучих безкомпромісних заяв навіть федеральні агентства, включно з Армією США, ВПС США та Управлінням по боротьбі з наркотиками ігнорували згадані заборони. У деяких випадках покупки було зроблено через портал GSA Advantage, платформу електронної комерції, яка декларує відповідність доступних на ній продуктів вимогам законодавства, включно з перевірками Управління служб загального призначення.

Варто окремо зауважити, що нинішня політика Штатів щодо усунення "недовірених" технологій із КНР містить низку компромісів, безглуздих із погляду декларованих нею цілей. Зокрема, т.зв. Розділ 889 Закону про національну оборону (National Defense Authorization Act), одного з ключових нормативних актів у цій галузі, не має зворотної сили. Таким чином, відомствам дозволено продовжувати використовувати «недовірені»продукти і рішення, які вони придбали до набрання законом чинності.

"Програми "вилучити і замінити" не є срібною кулею для захисту урядових мереж. Будь-яке обладнання має вразливості, а продукти та послуги, які замінюють обговорювані іноземні технології, що обговорюються, можуть містити свої власні помилки та "чорні ходи". Тому розробники політики повинні критично оцінити витрати і вигоди програм із заміни недовірених продуктів і технологій, перш ніж фінансувати їх", - підбивають підсумок автори доповіді.

Доводиться говорити про те, що навіть найбагатша держава західного світу не має можливості відмовитися від високотехнологічних продуктів і послуг з КНР. Одним із наслідків багаторічних симбіотичних відносин КНР і США став найвищий ступінь їхньої взаємної залежності. Датована осінню 2022 року доповідь не просто свідчить про провал американської політики технологічного "роз'єднання" з КНР. Вона наочно демонструє відмінність між європейським і американським підходами до управління ризиками у сфері високих технологій.

Різниця між цими підходами неодноразово висвітлювалася вітчизняними ЗМІ. Політика США заснована на гаслах і просто ігнорує фактичні обставини. ЄС своє регулювання ґрунтує на фактах, а його дизайн забезпечує варіативність і здатність адаптації. Немає, здається, жодної причини, чому Україні не можна використовувати підходи ЄС, тим більше, цього вимагає курс на євроінтеграцію. Ініційовані учасниками ринку процеси мають бути підтримані органами влади та доведені до логічного завершення.