(Не)безпечний Huawei: в чому побачили загрозу провідні країни світу

Середа, 23 січня 2019, 08:08 - Юрій Котляров, Asters

Стрімке перетворення компанії Huawei на глобальний центр технологічних рішень у сфері телекомунікацій вражає. Це вже найбільший у світі виробник телекомунікаційного обладнання, другий бренд у світі за кількістю проданих смартфонів. Ба більше, Huawei стоїть на шляху до того, щоб очолити перегони з розробки та впровадження 5G по всьому світу.

Однак останні новини, в яких згадано Huawei, свідчать про те, що дедалі більше країн називають китайську компанію загрозою для своєї національної безпеки.

З чим пов'язані такі звинувачення, наскільки вони виправдані? А головне, які висновки з цього варто зробити Україні?

Загроза зі сходу

У листопаді 2016 року Загальнокитайські збори народних представників прийняли закон про кібербезпеку Китаю (CSL), який регулює широке коло питань: від захисту особистої інформації до витоку даних і управління.

Цей закон викликав серйозні побоювання, оскільки в ньому використано неоднозначні формулювання, які могли створити нові бар'єри для торгівлі.

CSL складається з 79 статей, але побоювання для міжнародної торгівлі зводяться до трьох основних моментів:

- обов'язкове фізичне зберігання даних на материковому Китаї;

- обов'язкові перевірки безпеки обладнання перед продажем або встановленням мережі;

- обов'язкова допомога правоохоронним органам і правила зберігання даних.

Схоже, що підозри з боку різних держав, з яким стикається Huawei, спричинені можливим широким тлумаченням повноважень китайських спецслужб стосовно комерційних компаній і сумнівами в незалежності таких компаній від держави.

Кріс Джонсон, колишній старший аналітик ЦРУ з Китаю, так і заявив: "Я думаю, що це дійсно зводиться до питання про те, чи зробить компанія якісь кроки, щоб бути максимально прозорою у своїй діяльності, а також про те, чи є їхньою кінцевою метою, перш за все, відносини з китайським урядом, Комуністичною партією Китаю і Народно-визвольною армією".

У чому саме полягають побоювання?

Ґрунтуючись на значному впливі спецслужб КНР на китайських виробників, технічні фахівці стверджують про ризик так званих backdoor в обладнанні Huawei – вбудованого коду, який дозволяє отримати доступ до зашифрованих даних, непомітно шпигувати і використовувати як засіб віддаленого адміністрування.

І йдеться не тільки і не стільки про телефони Huawei, скільки про спектр обладнання для побудови телекомунікаційних мереж.

Захід стурбований

Історія переслідувань Huawei бере початок в 2000-х. Але перші серйозні звинувачення, внаслідок яких компанія була (хоч і не відразу) фактично заблокована на американському телекомунікаційному ринку, пролунали в доповіді Конгресу від 2012 року.

Після цього були розслідування з боку країн альянсу Five Eyes – Австралія і Нова Зеландія не допускають Huawei до створення мережі 5G, Велика Британія і Канада заявляють про серйозну стурбованість і переглядають ланцюжки поставок у сфері телекомунікацій. Зовсім нещодавно аналогічні заяви пролунали з боку ЄС і Японії.

Після нещодавнього арешту колишнього співробітника Huawei міністр внутрішніх справ Польщі Йоахім Брудзинський сказав: "Для ЄС і НАТО було б найрозумніше мати єдину позицію" щодо того, чи слід виключати Huawei зі своїх ринків.

Водночас треба відзначити, що Huawei гідно тримає удар (принаймні, досі тримала).

Компанія категорично заперечує, що має прямі зв'язки з урядом або збройними силами Китаю, стверджуючи, що не отримує фінансової підтримки від уряду КНР і на 98,6% належить співробітникам.

Huawei проводить не тільки масштабні PR-кампанії, але й докладає інших досить серйозних зусиль, щоби довести безпідставність заяв про наявність загроз.

Одним із яскравих прикладів цього є історія з Британією після початку співпраці Huawei з ВТ (British Telecom) у проекті "The 21st Century Network". Коли у британського уряду вперше виникли питання щодо зв'язків Huawei з китайською державою, Huawei запустила широкомасштабну PR-кампанію, щоб продемонструвати, що їм можна довіряти як постачальнику телекомунікаційного обладнання.

Huawei UK безпосередньо взаємодіяла з урядом Британії і прийняла пропозицію створити центр оцінки кібербезпеки (Cyber ​​Security Evaluation Centre), який тепер називають Cell, як ключовий елемент стратегії прозорості та надійності компанії. Одним із завдань центру є оцінка ризиків продуктів компанії при їх використанні на об'єктах критичної інфраструктури Британії.

Крім того, центр здійснював тестування всіх оновлень апаратного і програмного забезпечення для компонентів високого ризику, перш ніж їх розгортали в мережах Великої Британії.

Cell фінансується виключно за рахунок Huawei, а персонал проходить перевірку через служби безпеки Великої Британії. Huawei описав його як "теплицю – прозору, доступну і відкриту для регулюючих органів і клієнтів".

У березні 2011 року компанія опублікувала імена своїх членів ради директорів, намагаючись дистанціюватися від тверджень про тісні зв'язки з китайською державою. Huawei також опублікувала те, що вони назвали "White Paper" з кібербезпеки під назвою "Cyber ​​Security Perspectives: 21st Century Technology and Security – A Difficult Marriage". Його автор – Джон Саффолк, співробітник з глобальної кібербезпеки Huawei, який раніше обіймав посаду шефа з інформаційної безпеки в уряді Британії.

У доповіді зроблено спробу спростувати звинувачення, стверджуючи, що вони засновані на помилкових припущеннях і упередженнях.

Безпека чи свобода торгівлі?

Наскільки виправдані ці звинувачення? Варто нагадати, що парламентський комітет з безпеки Великої Британії проводив відповідне розслідування і у звіті не було категоричного висновку про необхідність розриву відносин з Huawei.

Але попри те, що публічно досі не наведено чітких доказів загрози безпеці з боку Huawei, сьогодні ми бачимо, як складається історія, що нагадує розповіді про привидів.

Незалежно від того, чи є претензії до Huawei правомірними, чи необґрунтованими, дебати навколо компанії зачіпають набагато ширше питання: створення критичних інфраструктур (особливо телекомунікаційної, продукція для якої може бути вироблена в будь-якій точці світу) завжди несе в собі невід'ємні ризики.

Більшість телеком-компаній, де б не знаходилася їхня штаб-квартира, так чи інакше використовують обладнання, яке було виготовлене чи розроблене в Китаї. Крім того, ризики і побоювання щодо телеком-інфраструктури практично тією ж мірою стосуються будь-якого іншого аспекту інформаційної критичної інфраструктури в країні – приватні компанії-постачальники підзвітні своїм акціонерам, можуть базуватися в іншій країні і підкорятися законам цієї країни, що також може викликати напруженість довкола національної безпеки.

Водночас забезпечити створення таких інфраструктур лише за рахунок вітчизняних постачальників і виробників нереально.

Неможливо забезпечити захист національної безпеки глобальними обмеженнями.

І один зі здорових висновків, які робить той самий парламентський комітет з безпеки Великої Британії, – ризики не можуть бути усунені за допомогою обмежень, але уряд має забезпечити належне управління цими ризиками.

Саме цей підхід до управління ризиками є ключовим, і на ньому повинна зосередитися Україна, якщо вона хоче захистити свою національну безпеку, не пригнічуючи вільну торгівлю та інновації.

Уряд повинен мати належну процедуру для оцінки ризиків – як ми згадували раніше, а також для розробки стратегії управління цими ризиками. Важливо відзначити, що це повинно бути невід'ємною частиною процесу, як до, так і після укладення контрактів з приватними компаніями, які беруть участь у створенні національних мереж.

Публікації в рубриці "Експертна думка" не є редакційними статтями і відображають винятково точку зору автора