Роман Химич, исследователь по вопросам безопасности и доверия в цифровой среде

 

СНБОУ приступил к изучению вопроса о целесообразности запрета китайского оборудования в украинских сетях. Как явствует из недавнего интервью директора департамента развития фиксированных сетей МЦТ, у правительства нет собственной позиции по этому предмету. Она есть у профильного комитета Рады и, видимо, операторов сетей, чьи мнения сейчас выясняет МЦТ.

К сожалению, приходится в очередной раз констатировать, что усилия профессионального сообщества по освещению происходящего в индустрии дают незначительный результат. Два года назад, в 2021-ом году участниками рынка был инициирован процесс имплементации в Украине европейских подходов к управлению рисками. Автором этой статьи и его коллегами была проделана обширная работа по переводу и адаптации европейского регулирования. Однако прошло меньше двух лет и всё это, кажется, ушло в песок. Коль скоро нет пророков в своём отечестве давайте посмотрим на опыт инициаторов всех этих запретов, а именно США.

Обнародованный в октябре 2022 года доклад одного из американских think tank свидетельствует о кризисе, если не провале политики вытеснения из США китайских производителей и технологий. Как явствует из документа, органы власти США так и не смогли создать дееспособные процедуры выявления и запрещения высокотехнологичных продуктов, созданных с использованием "недоверенных" технологий и производителей. Учитывая уже трёхлетние проволочки с удалением китайского оборудования из сетей мобильной связи можно говорить о провале соответствующих усилий федерального правительства.

Документ под названием "Banned in D.C. Examining Government Approaches to Foreign Technology Threats"/"Запрещено в округе Колумбия Изучение подходов правительства к иностранным технологическим угрозам" подготовлен Центром безопасности и новейших технологий/Center for Security and Emerging Technologies при Georgetown University’s Walsh School of Foreign Service. Он посвящён обсуждению результатов политики и федеральных, и региональных (штатов, округов и отдельных городов) властей в части запрета т.н. недоверенных поставщиков, продуктов и технологий. Основным источником угроз такого рода, как обычно, назван Китай.

Содержание доклада, как минимум, ставит под сомнению и многолетнюю риторику официальных лиц Соединённых Штатов, и фактический результат проводимой ими политики. Оказывается частные компании и бюджетные учреждения США продолжают приобретать продукты и услуги у китайских компаний, которые внесены в разного рода "чёрные списки". Исследователи выявили 1 681 орган государственной власти и местного самоуправления, которые в период с 2015 по 2021 год приобретали оборудование и услуги подсанкционных китайских компаний Huawei, ZTE, Hikvision, Dahua и Hytera. В каждом штате, за исключением Вермонта и округа Колумбия, хотя бы один местный орган власти отметился подобными приобретениями.
 

 

Рисунок 1. Количество сделок государственных и местных органов власти с участием подсанкционных продуктов из КНР по штатам, 2015-2021 годы (включая округ Колумбия)

В совокупности имели место 5700 контрактов с широким спектром оборудования, включая смартфоны, камеры наблюдения, температурные сканеры, портативные радиостанции и сетевое оборудование. Исследование опирается на данные, предоставленные компанией GovSpend, отслеживающей закупки федеральных, государственных и местных органов власти по всей стране. Их совокупная стоимость составила примерно 45,2 млн долларов США.

Авторы доклада настаивают, что "хотя масштаб операций может показаться незначительным с точки зрения стоимости, он значителен с точки зрения потенциального риска. Каждая единица недоверенного оборудования является потенциальной точкой входа в сети пользователей, независимо от её стоимости". 

 

Рисунок 2. Количество контрактов государственных и местных органов власти с участием подсанкционных продуктов из КНР, 2015-2021 годы (включая округ Колумбия)

Доклад, с одной стороны, содержит ряд примечательных признаний. С другой, его авторы старательно балансируют, пытаясь не сказать слишком много, не договаривая даже вполне очевидные, хорошо известные в профессиональной среде вещи. 

А есть ли мальчик?

Доклад признаёт, что наличие уязвимостей в продуктах китайских компаний не является основанием обвинять их в наличии умысла на создание т.н. backdoors. Более того, прямо говорится, что "ни одна технология не является абсолютно безопасной и китайские хакеры неоднократно доказывали свою способность взламывать правительственные сети, используя существующие уязвимости. Эти более традиционные нарушения во многих случаях легче организовать, чем атаки на цепочки поставок с использованием бэкдоров и они предполагают меньшие издержки". Попросту говоря, использование backdoors не является ни обязательным, ни даже предпочтительным способом кибератак. 

Доклад указывает на риски использования любых иностранных технологий, поскольку обслуживающий их персонал компаний-производителей сам по себе является источником риска. В случае их вербовки противником сотрудники этих компаний точно так же могут использовать свои полномочия для атак на компьютерные системы и сети. "Без надлежащих мер предосторожности любая организация, использующая иностранные технологии, подвержена этим рискам", - констатируют авторы доклада.

Признавая, что рискам компрометации подвержены любые продукты зарубежного происхождения, авторы избегают додумывать свою мысль до конца. Как показала практика, продукты американских компаний ничем не отличаются от всех остальных и дают хакерам достаточно возможностей для успешных атак. В силу этого выделение "иностранных" продуктов имеет немного смысла.

Показателен один из фрагментов доклада, где в одном предложении сообщается, что "бесчисленные местные органы власти стали жертвами китайских хакеров во время взлома данных Microsoft Exchange Server в начале 2021 года".  Следующее предложение утверждает, что "если китайское правительство или другие конкуренты будут использовать иностранные технологии подобным образом, тысячи государственных и местных органов власти могут оказаться подвержены потенциально разрушительным взломам". Между тем Microsoft Exchange Server является продуктом американской компании, которая, таким образом, оказалась источником не потенциальных, а реальных проблем.

Несколько примечательных признаний свидетельствует о ничтожности обвинений, выдвигаемых в адрес китайских производителей. "Хотя руководители органов национальной безопасности часто обсуждают общие риски, связанные с оборудованием Huawei и других компаний, они редко сообщают подробности о конкретных уязвимостях или нарушениях, связанных с конкретными продуктами.* Учитывая отсутствие ясности, руководители штатов и местных органов власти могут колебаться, стоит ли тратить энергию, ресурсы и политический капитал на устранение ненадёжных технологий", - подтверждают давно известный в профессиональной среде факт американские исследователи. За пять лет "крестового похода" против Huawei официальные лица правительства США не смогли сообщить ни одного инцидента, документированного надлежащим образом. 

Учитывая фактическое отсутствие доказательств злого умысла китайских производителей не вызывает удивления следующее утверждение: "Многие государственные организации не имеют достаточных компетенций для понимания и устранения подобных угроз, а те, которые имеют, могут отдавать приоритет устранению непосредственных угроз, таких как ransomware, а не более абстрактным рискам, создаваемым иностранными продуктами". Эвфемизм "абстрактные риски" указывает на фактическое отсутствие доказанных угроз.  

Деньги, деньги, деньги

Одной из причин провала нынешней политики устранения китайских продуктов и технологий доклад называет чрезмерные издержки. "Одним из основных препятствий является то, что запрет на закупки может увеличить расходы на приобретение оборудования. Китайские продукты обычно дешевле, чем аналогичные у некитайских компаний, что делает их привлекательным вариантом для государственных учреждений, испытывающих нехватку средств. Поэтому запрет на использование дешёвого китайского оборудования и принуждение государственных учреждений покупать более дорогие, но надежные альтернативы увеличивает расходы на ИТ. Затраты будут еще выше, если ведомствам придётся заменять продукты, которые уже находятся в их сетях".

Особенно чувствительны к цене вопроса местные общины в лице муниципалитетов, округов и властей штатов. Многие, если не большинство их не первый год пребывают в ситуации перманентного бюджетного кризиса и вынуждены экономить буквально на скрепках. Как результат решения об устранении китайских продуктов и технологий и соответствующие усилия сосредоточены на федеральном уровне.  Только пять штатов - Флорида, Джорджия, Луизиана, Техас и Вермонт - приняли соответствующие политики. Однако и они, как признаётся в докладе, "не структурированы для эффективного противодействия угрозам иностранных технологий".

Отдельной проблемой является недостаток у государственных и бюджетных учреждений опыта и знаний, необходимых для успешного изъятия и замены китайского оборудования. Доклад признаёт, что "отделы кибербезопасности в этих организациях, как правило, не имеют достаточного финансирования и штата сотрудников (если они вообще существуют), а те, кто располагает ресурсами, предположительно, отдают приоритет более насущным вопросам безопасности, таким как борьба с терроризмом". "Поэтому не следует ожидать, что государственные и местные органы власти будут активно заменять иностранные технологии без федеральной поддержки", - подчёркивают авторы.

Между тем с федеральной поддержкой всё очень плохо. Единственная программа компенсации для частного сектора буксует третий год. В 2020 году Конгресс поддержал выделение примерно $1,9 млрд. для компенсации затрат региональных операторов мобильной связи в связи с заменой оборудования Huawei и ZTE. Изначально участники рынка запросили свыше $5,6 млрд., однако власти отвергли большую часть заявок. Теперь эти запросы признаны не просто обоснованными, но недостаточными. Уже согласованные средства решено направить операторам с абонбазой не более 2 млн. подключений как наиболее уязвимой категории приватных компаний. Региональные операторы до сих пор не получили ни одного доллара из этих средств, соответственно, не заменили ни одной единицы китайского оборудования.

Стоит отметить, что действующие политики не предусматривают покрытия издержек от замены продуктов Hikvision, Dahua, Hytera и большинства других подсанкционных компаний. Если это оборудование будет включено в программу, запросы на возмещение расходов будут намного выше.

"Замена каждого экземпляра ненадежного оборудования, установленного в настоящее время в американских сетях, неосуществима, поэтому ресурсы должны быть направлены в те области, где они окажут наибольшее влияние. (...) Программы "Вырвать и заменить" отвлекают ресурсы от других государственных услуг, таких как образование и инфраструктура. Политики должны рассмотреть компромиссы, связанные с этим перераспределением", - резюмируют один из разделов доклада его авторы.

87 тысяч лицензий в неделю

В докладе подробно освещается ещё одна ключевая проблема нынешней политики -  чрезмерная трудоёмкость и низкая эффективность административных процедур.  Цепочки поставок высокотехнологичных продуктов и услуг, которые подлежат мониторингу на предмет выявления и устранения "недоверенных" технологий, очень велики и запутаны. Они охватывают десятки тысяч компаний, разбросанных по всему миру, а связи между ними не всегда очевидны. Оборудование, произведённое одной компанией, может содержать компоненты, полученные от многих различных поставщиков и продаваться под маркой другой компании.

Например, камеры, произведённые китайской компанией Dahua Technology, занимающейся системами видеонаблюдения, продаются и под брендом Dahua, и под торговыми марками дочерних компаний, таких как канадская Lorex. Помимо этого Dahua выступает в качестве OEM-производителя для десятков других вендоров, продавая им продукцию, которая затем переупаковывается и продается под другими брендами. "Подобные соглашения, распространённые в технологической отрасли, затрудняют для правительств, частных компаний и других потребителей определение того, чьё именно оборудование и услуги они покупают", - объясняют авторы доклада. 

Идея контролировать жизнь гигантской индустриальной экосистемы предполагает документооборот невообразимых масштабов. Комитет по иностранным инвестициям в США, который рассматривает иностранные инвестиции в американские компании на предмет угроз национальной безопасности, в период с 2008 по 2020 год рассматривал в среднем 152 дела в год. Если придерживаться существующего законодательства о противодействии недоверенным поставщикам и продуктам, Министерству торговли США необходимо рассматривать тысячи, если не десятки тысяч сделок каждый день.

Согласно внутренним оценкам американской администрации, которые упоминаются в докладе, до 4,5 миллионов американских предприятий импортируют иностранные технологии, подлежащие надзору. Если бы каждое из этих предприятий подавал всего одну заявку на получение соответствующей лицензии в год, Министерство торговли было бы обязано обрабатывать до 87 000 лицензий в неделю.  Между тем Бюро промышленности и безопасности в составе Министерства торговли, отвечающее за соблюдение антикитайских санкций, в настоящее время располагает всего 16 должностями с годовым бюджетом около $4,7 млн., выделенных на администрирование санкционной программы. В бюджетном запросе на 2023 год бюро запрашивает Конгресс о ещё 114 должностях и $36,2 млн. До сих пор неизвестно, будет ли этот запрос удовлетворён законодателями.

Доклад признаёт, что федеральное законодательство, нацеленное на устранение китайских технологий, создаёт серьёзные проблемы для частного сектора. "Компаниям и так нелегко идти в ногу с быстрыми технологическими изменениями, а в соответствии с этими правилами они рискуют затормозить или вовсе заблокировать ИТ-проекты по решению федеральных регулирующих органов. (…) Например, раздел 889 запрещает федеральным агентствам заключать контракты с подрядчиками, использующими указанные технологии, даже если это оборудование не участвует в выполнении контракта. Таким образом, эта мера фактически является запретом на закупки как для федеральных агентств, так и для федеральных подрядчиков. Учитывая затраты, связанные с выполнением этого постановления, компании, которые ещё не продают продукцию федеральному правительству, могут не захотеть или не иметь возможности делать это (…) В зависимости от своей структуры, запреты на закупки могут лишить поставщиков стимула к ведению бизнеса с государственными учреждениями".

Всё это приводит к тому, что на фоне предельно решительных бескомпромиссных заявлений даже федеральные агентства, включая Армию США, ВВС США и Управление по борьбе с наркотиками игнорировали упомянутые запреты.  В некоторых случаях покупки были сделаны через портал GSA Advantage, платформу электронной коммерции, которая декларирует соответствие доступных на ней продуктов требованиям законодательства, включая проверки Управления служб общего назначения. 

Стоит отдельно заметить, что нынешняя политика Штатов в части устранения "недоверенных" технологий из КНР включает ряд компромиссов, нелепых с точки зрения декларируемых ею целей. В частности, т.н. Раздел 889 Закона о национальной обороне (National Defense Authorization Act), одного из ключевых нормативных актов в этой области, не имеет обратной силы. Таким образом, ведомствам разрешено продолжать использовать "недоверенные" продукты и решения, которые они приобрели до вступления закона в силу.  

"Программы "изъять и заменить" не являются серебряной пулей для защиты правительственных сетей. Любое оборудование имеет уязвимости, а продукты и услуги, которые заменяют обсуждаемые иностранные технологии, могут содержать свои собственные ошибки и "черные ходы". Поэтому разработчики политики должны критически оценить затраты и выгоды программ по замене недоверенных продуктов и технологий, прежде чем финансировать их", - подводят итог авторы доклада.

Приходится говорить о том, что даже богатейшее государство западного мира не имеет возможности отказаться от высокотехнологичных продуктов и услуг из КНР.  Одним из следствий многолетних симбиотических отношений КНР и США стала высочайшая степень их взаимной зависимости.

Датированный осенью 2022 года доклад не просто свидетельствует о провале американской политики технологического "рассоединения" с КНР. Он наглядно демонстрирует отличие между европейским и американским подходами к управлению рисками в сфере высоких технологий.

Разница между этими подходами неоднократно освещалась отечественными СМИ. Политика США основана на лозунгах и попросту игнорирует фактические обстоятельства. ЕС своё регулирование основывает на фактах, а его дизайн обеспечивает вариативность и способность адаптации. Нет, кажется, ни одной причины, почему Украине нельзя использовать подходы ЕС, тем более, этого требует курс на евроинтеграцию. Инициированные участниками рынка процессы должны быть поддержаны органами власти и доведены до логического завершения.