Безпека 5G по-європейськи

Роман Хіміч, дослідник питань безпеки та довіри в цифровому середовищі

 

Питання про те, що робити з китайським обладнанням у телеком-мережах поступово переходить з теоретичної площини в практичну. Навесні цим питанням перейнялася РНБОУ, запропонувавши органам влади та операторським компаніям надати свої міркування. Вперше свою позицію щодо цього публічно озвучили Vodafone і Київстар. Американські та європейські партнери дедалі наполегливіше пропонують Україні самовизначитися. 

Поява тих чи інших обмежень на телеком-продукти з КНР видається дедалі ймовірнішою, практично неминучою. Як показано в попередній публікації, ухвалена в США політика повної відмови від китайського обладнання стикається з дуже суттєвими перешкодами. У разі нашої країни ці перешкоди можуть стати зовсім нездоланними.

Чи є альтернативні підходи до управління ризиками, пов'язаними з обладнанням з КНР? Минулого разу ми згадували альтернативний підхід у цій царині, який прийнято в Євросоюзі. Давайте подивимося уважніше в чому полягає американський і європейський підходи. У чому їхня схожість і в чому відмінність. 

"Чиста мережа" по-американськи

Сполучені Штати є ініціатором і головною рушійною силою кампанії із заборони китайського телеком-обладнання в глобальному масштабі. Навіть Британія, найближчий союзник США, до середини 2020 року вважала недоцільним відмовлятися від співпраці з китайськими компаніями. Серед іншого, 2017 року уряд її Величності погодив китайській Huawei будівництво R&D-центру, інвестиції в який мали скласти вражаючі 1 млрд. фунтів стерлінгів. Як визнають британські політики, єдиною причиною відмови від співпраці з китайцями був тиск Вашингтона.

У 2020 році адміністрація Трампа висунула рамкову ініціативу "Clean Network" (рос. "Чиста Мережа"). Змістовно це набір гасел, які проголошують необхідність очистити (анг. clean) від китайської присутності хмари, застосунки, кабелі та інші елементи цифрової інфраструктури США і дружніх їм держав. На відміну від багатьох інших питань адміністрація Джо Байдена демонструє спадкоємність із політикою попередника і продовжує курс на усунення китайських компаній. 

У нормативно-правовій площині "Чиста Мережа" втілена в низці виконавчих і законодавчих актів. До найважливіших належать: 

Розділ 889 "National Defense Authorization Act", який забороняє федеральним агенціям використовувати обладнання та послуги п'яти китайських технологічних компаній і працювати з підрядниками, що використовують зазначене обладнання;

Глава 2 "SECURE Technology Act", яка наказує створення федеральної ради для аналізу загроз безпеці ланцюжка поставок і рекомендує видалення або виключення певних технологій із федеральних мереж;

Правило ІКТП (англ. ICTS, information and communications technology and services), яке дає змогу Міністерству торгівлі США блокувати державні та приватні закупівлі, а також використання певних іноземних ІКТП;

Secure and Trusted Communications Networks Act, який дає змогу Федеральній комісії зі зв'язку (FCC) обмежувати купівлю певних ІКТП за рахунок федеральних коштів.

Характерними рисами американського підходу є: а) явно декларована спрямованість проти китайської держави і виробників з КНР; б) постулювання "китайської загрози" як чогось твердо встановленого і такого, що не вимагає доказів; в) фокус на проблематиці так званих кіберзагроз і промислового шпигунства; г) безкомпромісність. Повна і безумовна заборона розглядається американськими законодавцями і чиновниками як універсальний засіб управління ризиками. 

Як показано в попередній публікації, органи влади США зіткнулися з дуже серйозними, можливо навіть принципово непереборними перешкодами в частині імплементації цього підходу. Зокрема, ідея повного усунення китайських технологій із ланцюжків поставок в умовах глобалізації передбачає без перебільшення колосальний обсяг адміністративної роботи.

Згідно з внутрішніми оцінками американської адміністрації, до 4,5 мільйонів американських підприємств імпортують іноземні технології, що підлягають нагляду. Якби кожне з них подавало лише одну заявку на отримання відповідної ліцензії на рік, Міністерство торгівлі було б зобов'язане обробляти до 87 000 ліцензій на тиждень.  Тим часом відповідний підрозділ міністерства наразі має в своєму розпорядженні лише 16 посад із річним бюджетом близько $4,7 млн. У бюджетному запиті на 2023 рік бюро запитує у Конгресу про ще 114 посад і $36,2 млн. Досі невідомо, чи буде цей запит задоволений законодавцями.

Якщо говорити про зовнішньополітичні аспекти "Чистої мережі", ключовою проблемою є відсутність доказів кібершпигунства і наявності спеціально впроваджених вразливостей у китайському обладнанні, т.зв. "чорних ходів" (англ. backdoors). На сьогодні участь у цій ініціативі американської адміністрації перетворилася на спосіб вираження лояльності до неї. З огляду на масштаб пов'язаних із цим витрат, США не завжди можуть схилити до заборони китайського обладнання навіть найбільш лояльних партнерів на кшталт Польщі.

Європейський "ящик з інструментами" для безпеки 5G-мереж

Підхід, який прийнятий у Європейському союзі, багато в чому є протилежністю "Чистої Мережі". По-перше, він не обмежується проблематикою "стримування" КНР і охоплює чи не всі скільки-небудь значущі ризики. Це і стійкість ланцюжків поставок, і протидія недержавним акторам, і багато іншого. По-друге, замість прямої згадки КНР як джерела загроз використовуються рамкові визначення, що охоплюють набагато ширше коло акторів. За необхідності до "недовірених постачальників" можуть бути віднесені не тільки ізраїльські або російські, а й навіть американські компанії. По-третє, наріжним каменем свого підходу ЄС проголошує опору на факти. Жодні твердження не приймаються на віру, але підлягають обґрунтуванню.    

Зрозуміло, питання про політичну доцільність тих чи інших заборон нікуди не поділося. Цього року риторика представників Єврокомісії щодо КНР стала набагато жорсткішою. Слідом за американськими партнерами вони говорять про необхідність серйозних обмежень або навіть повної заборони телеком-продуктів з КНР. Проте члени ЄС, як і раніше, користуються правом самостійно оцінювати аргументи на користь обмежень і не завжди ці оцінки збігаються.

Такі відмінності в підходах проявилися досить давно, у травні 2019 року. Тоді за підсумками Prague 5G Security Conference представники 32 держав, включно з ключовими членами ЄС і НАТО, озвучили солідарну позицію. Незважаючи на офіційну підтримку, США не були задоволені підсумками конференції. Адміністрація Трампа доклала серйозних зусиль, щоб підсумковий документ містив згадку Китаю і Huawei, однак умовити європейців не вдалося.

Показово, що і в КНР до підсумків конференції поставилися досить критично, звинувачуючи організаторів заходу в упередженості та порушенні принципів вільного ринку. Цей факт ілюструє ключову особливість європейського підходу до проблеми управління ризиками в 5G-мережах. Він не "проамериканський" і не "прокитайський". Євросоюз реалізує свій досвід і уявлення про характер загроз, з якими він наразі зіштовхується. 

Розуміючи необхідність протиставити волюнтаризму Трампа адекватну альтернативу, Європейська комісія вже 2018 року розпочала роботу над власними підходами та рекомендаціями в частині безпеки цифрової інфраструктури. Результатом цієї роботи стали кілька документів, насамперед Cybersecurity of 5G networks: EU Toolbox of risk mitigating measures та Directive on security of network and information systems (NIS Directive). Наразі ухвалено вже другу версію останнього документа, відому як NIS2 Directive.

Слово toolbox означає "ящик з інструментами", символізуючи раціональний і прагматичний підхід до вирішення завдань. У повній відповідності зі своєю назвою документи пропонують детальний і структурований погляд на предмет, а також детальні плани дій. Єврокомісія виділяє п'ять категорій ризиків у 5G-мережах і дев'ять їх різновидів. Пропонується вісім стратегічних, одинадцять технічних і ще десять "підтримувальних" заходів.

Проблеми довіри до постачальників із третіх країн, державного і недержавного кібершпигунства, інших деструктивних дій - усе це розведено за окремими категоріями. Засадничим принципом європейського підходу заявлено опору на факти.

Документ не згадує будь-які держави, угруповання або інциденти. Кожен учасник ЄС має самостійно оцінити наявні докази та прийняти рішення, керуючись запропонованими йому підходами.

Порівнювати американський і європейський підходи напряму неможливо. EU 5G Toolbox - це саме інструмент, націлений на вирішення завдання управління ризиками. Управління ризиками передбачає оцінку витрат, їх доцільності, обговорення варіантів вирішення завдання. Зі свого боку Clean Network являє собою щось на зразок маніфесту, набору гасел. Адміністрація Трампа вирішувала принципово інше завдання - усунення китайської присутності за всяку ціну під будь-яким приводом.

Український підхід: яким він може бути?

На сьогодні про своє ставлення до можливих обмежень на китайське обладнання озвучили два найбільших оператори країни. Компанії наполягають на необхідності відшкодування їм збитків у разі дострокової, тим більше невідкладної заміни величезної частини обладнання мереж. Окрему увагу вони просять приділити проблемі безперервності, стійкості та якості послуг, які отримують їхні абоненти.

Зокрема, СЕО Київстар Олександр Комаров в ексклюзивному інтерв'ю "Інтерфакс-Україна" наголосив, що одномоментна відмова від китайського телекомунікаційного обладнання неможлива, оскільки частка китайських вендорів на мережах українських операторів сягає 60%. "Якщо ж це якась еволюція, додатковий контроль, заміна китайських постачальників у якихось критичних елементах мережі, на мою думку, це можливо", - заявив він.

Озвучену українськими операторами мобільного зв'язку позицію можна охарактеризувати як прагматично-консервативну. Вони провели майже півтора року роботи в умовах повномасштабної війни. На відміну від органів влади та бюджетних установ оператори "великої трійки" не пропустили жодної кібератаки. Іншими словами, наявність у їхніх мережах великої частки китайського обладнання не стала фактором ризику.

Цей факт дає змогу зробити висновок, що проблематика кібербезпеки не повинна розглядатися як пріоритет під час вирішення "китайського питання". В Україні на передній план виходить питання стійкості ланцюжків поставок в умовах американо-китайського протистояння. Як вплине на діяльність національних операторів припинення поставок у разі загострення цього конфлікту? Як воно вплине на виробників із Західної Європи та США? Які ще є можливості зниження ризиків і підвищення стійкості мереж, крім заборон і обмежень?

Органам влади та операторам мобільного зв'язку України варто взяти за основу європейський підхід до управління ризиками. Він видається більш ефективним і гнучким у нашій ситуації. Зрештою, саме європейські підходи до регулювання телекомунікацій зобов'язана імплементувати в рамках євроінтеграції наша країна.