Роман Химич, исследователь по вопросам безопасности и доверия в цифровой среде

 

Вопрос о том, что делать с китайским оборудованием в телеком-сетях постепенно переходит из теоретической плоскости в практическую. Весной этим вопросом озадачился СНБОУ, предложив органам власти и операторским компаниям предоставить свои соображения. Впервые свою позицию на сей счёт публично озвучили Vodafone и Киевстар. Американские и европейские партнеры всё более настойчиво предлагают Украине самоопределиться. 

Появление тех или иных ограничений на телеком-продукты из КНР выглядит всё более вероятным, практически неизбежным. Как показано в предыдущей публикации, принятая в США политика полного отказа от китайского оборудования сталкивается с очень существенными препятствиями. В случае нашей страны эти препятствия могут стать вовсе непреодолимыми.
Есть ли альтернативные подходы к управлению рисками, связанными с оборудованием из КНР? В прошлый раз мы упоминали альтернативный подход в этой области, который принят в Евросоюзе. Давайте посмотрим внимательнее в чем заключается американский и европейский подходы. В чём их сходство и в чём отличие. 

"Чистая сеть" по-американски

Соединенные Штаты являются инициатором и главной движущей силой кампании по запрету китайского телеком-оборудования в глобальном масштабе. Даже Британия, ближайший союзник США, до середины 2020 года считала нецелесообразным отказываться от сотрудничества с китайскими компаниями. Среди прочего, в 2017 году правительство её Величества согласовало китайской Huawei строительство R&D-центра, инвестиции в который должны были составить впечатляющие 1 млрд. фунтов стерлингов. Как признают британские политики, единственной причиной отказа от сотрудничества с китайцами было давление Вашингтона.

В 2020 году администрация Трампа выдвинула рамочную инициативу "Clean Network" (рус. "Чистая Сеть"). Содержательно это набор лозунгов, провозглашающих необходимость очистить (анг. clean) от китайского присутствия облака, приложения, кабели и другие элементы цифровой инфраструктуры США и дружественных им государств. В отличие от многих других вопросов администрация Джо Байдена демонстрирует преемственность с политикой предшественника и продолжает курс на устранение китайских компаний. 

В нормативно-правовой плоскости "Чистая Сеть" воплощена в ряде исполнительных и законодательных актов. К наиболее важным относятся: 

 

Раздел 889 "National Defense Authorization Act", который запрещает федеральным агентствам использовать оборудование и услуги пяти китайских технологических компаний и работать с подрядчиками, использующими указанное оборудование;

Глава 2 "SECURE Technology Act", которая предписывает создание федерального совета для анализа угроз безопасности цепочки поставок и рекомендует удаление либо исключение определенных технологий из федеральных сетей;

Правило ИКТУ (англ. ICTS, information and communications technology and services), которое позволяет Министерству торговли США блокировать государственные и частные закупки, а также использование определенных иностранных ИКТУ;

Secure and Trusted Communications Networks Act, который позволяет Федеральной комиссии по связи (FCC) ограничивать покупку определенных ИКТУ за счет федеральных средств.

Характерными чертами американского подхода являются а) явным образом декларируемая направленность против китайского государства и производителей из КНР б) постулирование "китайской угрозы" как чего-то твёрдо установленного и не требующего доказательств в) фокус на проблематике т.н. киберугроз и промышленного шпионажа и г) бескомпромиссность. Полный и безусловный запрет рассматривается американскими законодателями и чиновниками как универсальное средство управления рисками. 
Как показано в предыдущей публикации, органы власти США столкнулись с очень серьёзными, возможно даже принципиально неустранимыми препятствиями в части имплементации этого подхода. В частности, идея полного устранения китайских технологий из цепочек поставок в условиях глобализации предполагает без преувеличения колоссальный  объём административной работы.
Согласно внутренним оценкам американской администрации, до 4,5 миллионов американских предприятий импортируют иностранные технологии, подлежащие надзору. Если бы каждое из них подавало всего одну заявку на получение соответствующей лицензии в год, Министерство торговли было бы обязано обрабатывать до 87 000 лицензий в неделю.  Между тем соответствующее подразделение министерства в настоящее время располагает всего 16 должностями с годовым бюджетом около $4,7 млн. В бюджетном запросе на 2023 год бюро запрашивает Конгресс о ещё 114 должностях и $36,2 млн. До сих пор неизвестно, будет ли этот запрос удовлетворён законодателями.
Если говорить о внешнеполитических аспектах "Чистой сети", ключевой проблемой является отсутствие доказательств кибершпионажа и наличия специально внедрённых уязвимостей в китайском оборудовании, т.н. "чёрных ходов" (англ. backdoors). На сегодняшний день учатие в этой инициативе американской администрации превратилось в способ выражения лояльности к ней. Учитывая масштаб сопряжённых с этим издержек, США не всегда могут склонить к запрету китайского оборудования даже наиболее лояльных партнёров вроде Польши.

Европейский "ящик с инструментами" для безопасности 5G-сетей

Подход, который принят в Европейском союзе, во многом является противоположностью "Чистой Сети". Во-первых, он не ограничивается проблематикой "сдерживания" КНР и охватывает едва ли не все сколь-нибудь значимые риски. Это и устойчивость цепочек поставок, и противодействие негосударственным акторам, и многое другое. Во-вторых, вместо явного указания КНР как источника угроз используются рамочные определения, охватывающие гораздо более широкий круг акторов. При необходимости к "недоверенным поставщикам" могут быть отнесены не только израильские или российские, но даже американские компании. В-третьих, краеугольным камнем своего подхода ЕС провозглашает опору на факты. Никакие утверждения не принимаются на веру, но подлежат обоснованию.    
Разумеется, вопрос о политической целесообразности тех или иных запретов никуда не делся. В этом году риторика представителей Еврокомиссии в отношении КНР стала намного жёстче. Вслед за американскими партнёрами они говорят о необходимости серьёзных ограничений или даже полного запрета телеком-решений из КНР. Тем не менее, члены ЕС по-прежнему пользуются правом самостоятельно оценивать аргументы в пользу ограничений и не всегда эти оценки совпадают.
Эти различия в подходах проявились довольно давно, в мае 2019 года. Тогда по итогам Prague 5G Security Conference представители 32 государств, включая ключевых членов ЕС и НАТО, озвучили солидарную позицию. Несмотря на официальную поддержку, США не были довольны итогами конференции. Администрация Трампа приложила серьезные усилия, чтобы итоговый документ содержал упоминание Китая и Huawei, однако уговорить европейцев не удалось.

Показательно, что и в КНР к этим итогам отнеслись довольно критично, обвиняя организаторов мероприятия в предвзятости и нарушении принципов свободного рынка. Этот факт иллюстрирует ключевую особенность европейского подхода к проблеме управления рисками в 5G-сетях. Он не "проамериканский" и не "прокитайский". Евросоюз реализует свой опыт и представление о характере угроз, с которыми он сталкивается в настоящее время. 

Понимая необходимость противопоставить волюнтаризму Трампа собственную альтернативу, Европейская комиссия уже В 2018 году начала работу над собственными подходами и рекомендаций в части безопасности цифровой инфраструктуры. Результатом этой работы стали несколько документов, в первую очередь Cybersecurity of 5G networks: EU Toolbox of risk mitigating measures и Directive on security of network and information systems (NIS Directive). В настоящее время принята уже втора версия последнего документа, известная как NIS2 Directive.

Слово toolbox означает "ящик с инструментами", символизируя рациональный и прагматичный подход к решению задач. В полном соответствии со своим названием документы предлагают подробный и структурированный взгляд на предмет, а также детальные планы действий. Еврокомиссия выделяет пять категорий рисков в 5G-сетях и девять их разновидностей. Предлагается восемь стратегических, одиннадцать технических и еще десять "поддерживающих" мер.

Проблемы доверия к поставщикам из третьих стран, государственного и негосударственного кибершпионажа, прочих деструктивных действий – все это разведено по отдельным категориям. Основополагающим принципом европейского подхода заявлена опора на факты.

Документ не упоминает какие-либо государства, группировки или инциденты. Каждый участник ЕС должен самостоятельно оценить имеющиеся доказательства и принять решения, руководствуясь предложенными ему подходами.

Сравнивать американский и европейский подходы напрямую невозможно. EU 5G Toolbox – это именно инструмент, нацеленный на решение задачи управления рисками. Управление рисками предполагает оценку издержек, их целесообразности, обсуждение вариантов решения задачи. В свою очередь Clean Network представляет собой что-то вроде манифеста, набора лозунгов. Администрация Трампа решала принципиально иную задачу – устранение китайского присутствия любой ценой под любым предлогом.

Украинский подход: каким он может быть?

На сегодняшний день о своём отношении к возможным ограничениям на китайское оборудование озвучили два крупнейших оператора страны. Компании настаивают на необходимости возмещения им убытков в случае досрочной, тем более безотлагательной замены огромной части оборудования сетей. Отдельное внимание они просят  уделить проблеме непрерывности, устойчивости и качества услуг, которые получают их абоненты.
В частности, СЕО Киевстар Александр Комаров в эксклюзивном интервью "Интерфакс-Украина" подчеркнул, что одномоментный отказ от китайского телекомоборудования невозможен, поскольку доля китайских вендоров на сетях украинских операторов достигает 60%. "Если же это какая-то эволюция, дополнительный контроль, замена китайских поставщиков в каких-то критических элементах сети, по моему мнению, это возможно", - заявил он.

Озвученная украинскими операторами мобильной связи позиция может быть охарактеризована как прагматично-консервативная. Они провели почти полтора года работы в условиях полномасштабной войны. В отличие от органов власти и бюджетных учреждений операторы "большой тройки" не пропустили ни одной кибератаки. Иными словами, наличие в их сетях большой доли китайского оборудования не стало фактором риска.
Этот факт позволяет сделать вывод, что проблематика кибербезопасности не должна рассматриваться как приоритет при решении "китайского вопроса". В Украине на передний план выходит вопрос устойчивости цепочек поставок в условиях американо-китайского противостояния. Как повлияет на деятельность национальных операторов прекращение поставок в случае обострения этого конфликта? Как оно повлияет на производителей из Западной Европы и США? Какие ещё есть возможности снижения рисков и повышения устойчивости сетей кроме запретов и ограничений?
Органам власти и операторам мобильной связи Украины стоит принять за основу европейский подход к управлению рисками. Он представляется более эффективным и гибким в нашей ситуации. В конце концов, именно европейские подходы к регулированию телекоммуникаций обязана имплементировать в рамках евроинтеграции наша страна.