Повышение кибербезопасности или избавление от "нежелательных" брендов

Еще в феврале 2023 г. Европейский парламент на брифинге рассмотрел и подписал Директиву Европейского союза 2022/2555, более известную как NIS2, которая направлена на повышение уровня кибербезопасности в Союзе. Основные положения директивы включают в себя следующие ключевые аспекты:

1. Расширение сферы действия: NIS2 расширяет категории организаций, на которые распространяется действие директивы. Теперь к ним относятся как "важные", так и "жизненно важные" организации. К жизненно важным организациям относятся энергетические компании, транспортные службы, банки, инфраструктура финансовых рынков, здравоохранение, цифровая инфраструктура и правительственные учреждения. К важным организациям относятся почтовые службы, химическая промышленность, пищевая промышленность, производители медицинского оборудования и другие.
2. Обязательные минимальные средства контроля безопасности: NIS2 требует от всех организаций внедрения не менее 10 базовых элементов безопасности, включая обработку инцидентов, безопасность цепочки поставок, использование криптографии, непрерывность бизнеса и базовую кибергигиену (например, многофакторную аутентификацию и обучение персонала)(Infoblox Blog)(DataGuard).
3. Отчетность о киберинцидентах: Директива устанавливает многоуровневую систему отчетности об инцидентах со строгими сроками. Организации должны сообщать о значительных инцидентах в свою CSIRT (Computer Security Incident Response Team) или компетентный орган в течение 24 часов с момента обнаружения инцидента, затем 72 часа на уведомление и, при необходимости, промежуточную отчетность.
4. Управление рисками: Организации должны регулярно проводить оценку рисков своих ИТ-систем, выявлять потенциальные угрозы и уязвимости и принимать меры по их снижению. Это включает разработку планов обеспечения непрерывности бизнеса и восстановления после инцидентов для минимизации времени простоя и обеспечения непрерывности работы критически важных сервисов.
5. Санкции и принудительные меры: национальные органы власти имеют право применять дополнительные меры, такие как приказы о приостановке или ограничении деятельности организации для защиты безопасности сетевых и информационных систем(DataGuard).

Что это означает в простых терминах? Это значит, что теперь не любое оборудование может быть предоставлено интернет-провайдерами (ISP) и поставщиками телефонных услуг, а только то, которое соответствует определенным требованиям и сертификатам.
И оборудование известных китайских компаний, таких как Huawei и ZTE, попадает в эту зону риска (хотя ни в одном документе не упоминается название страны или компании). В контексте оборудования китайских компаний основные опасения связаны с аспектами безопасности цепочек поставок и рисками использования оборудования и технологий из стран, не входящих в ЕС, включая Китай. Это ставит под угрозу все уже установленное оборудование этих китайских брендов. Тем, кто будет признан критически важным, будет дано семь лет на удаление такого оборудования или программного обеспечения. Однако операторы связи, чей годовой доход от телекоммуникационной деятельности в предыдущем финансовом году превысил 10 миллионов злотых, должны будут сделать это в течение четырех лет - это положение распространяется на оборудование, отвечающее за услуги, критически важные для безопасности сети. Порог выручки в 10 миллионов злотых уже превышен многими средними местными интернет-провайдерами, а это значит, что под действие режима попадут не только крупнейшие телекоммуникационные компании, например те, которые строят сети 5G.

Как известно, США ввели запрет на использование сетевого оборудования китайских компаний, таких как Huawei и ZTE, это связано с мерами национальной безопасности. Федеральная комиссия по связи США (FCC) приняла решение запретить лицензирование и использование оборудования этих компаний, поскольку они считаются угрозой национальной безопасности. Этот шаг стал частью реализации закона SAFE Equipment Act of 2021, который направлен на предотвращение рисков, связанных с использованием иностранного оборудования в критической инфраструктуре(Федеральная комиссия по связи).

Согласно новому закону, американские компании должны избавиться от оборудования китайских компаний, которое было признано угрозой национальной безопасности. Меры включают замену существующего оборудования и запрет на его дальнейшее приобретение и использование(Orrick).

В связи с нестабильной политической ситуацией в мире, когда Китай больше склоняется на Восток, многие страны видят в своих технологиях угрозу со стороны Китая, поэтому стараются ограничить себя в использовании китайского оборудования на критически важных объектах инфраструктуры (опасаясь шпионажа или саботажа).

Испания уже выделила более 500 миллионов евро на развитие сетей 5G в сельских районах, но заявила, что некоторые поставщики, считающиеся"высокорисковыми", будут исключены из программы. Испанская дочерняя компания Huawei инициировала так называемую. "административную апелляцию", утверждая, что исключение отдельных поставщиков является "непропорциональным", "политически мотивированным" и просто незаконным. С июня 2023 г. Европейская комиссия оказывает давление на страны ЕС, призывая их отказаться от оборудования Huawei и ZTE. В то же время Германия и, в меньшей степени, Испания в большей степени, чем другие страны ЕС, полагаются на оборудование некоторых китайских брендов, и ЕС считает это "неприемлемым". Германия уже рассматривает возможность отказа от такого оборудования, а китайское посольство заявило, что КНР "не останется равнодушной" к таким недружественным шагам.

В Испании 38 % сетей 5G по состоянию на декабрь 2022 года построены на оборудовании Huawei, а в Германии речь идет о 59 % (17 % во Франции и 51 % в Италии). Известно, что Huawei уже подала апелляцию в Португалии на решение, запрещающее местным операторам использовать оборудование компании для построения сетей 5G.

Что означают все эти модные словечки о кибербезопасности для рядового пользователя Интернета и что изменится для него? Да, по сути, ничего не изменится, все эти законы и поправки ложатся на плечи интернет-провайдеров и операторов связи. Однако если закон вступит в силу, а ваш провайдер не поменяет оборудование или просто не будет к этому готов, ваш домашний интернет, скорее всего, исчезнет, мобильный - пропадет, а связь 5G - оборвется. И самое страшное, что рядовой пользователь не сможет ничего изменить, ему останется только ждать, когда оператор предпримет необходимые действия для быстрого разрешения сложившейся ситуации. А если у оператора нет запасного оборудования, то отключение от связи и интернета может продлиться не только несколько часов, но и несколько дней или даже месяцев.

Директива NIS2 Европейского союза ставит амбициозные цели по повышению кибербезопасности, расширяя круг организаций, на которые распространяется действие директивы, и устанавливая жесткие требования к безопасности и отчетности. Важным следствием этих мер является ужесточение требований к оборудованию, используемому интернет-провайдерами и телекоммуникационными компаниями, что особенно важно в свете действующих ограничений, наложенных на оборудование китайских производителей, таких как Huawei и ZTE. Эти изменения могут существенно повлиять на структуру телекоммуникационного рынка в Европе, ускорить модернизацию сетевого оборудования и повысить общий уровень киберустойчивости в стратегически важных отраслях. В то же время директива укрепляет позиции Европейского союза на мировой арене кибербезопасности, обеспечивая более жесткий контроль над источниками потенциальных угроз и согласовывая требования к безопасности с ведущими мировыми стандартами.
Директива также может оказать значительное влияние на оборудование провайдеров на польском телекоммуникационном рынке. Интернет-провайдеры и операторы связи надеются, что министр цифровых технологий не будет пытаться заклеймить китайские компании как провайдеров с высоким уровнем риска, и что эти правила будут лишь угрозой. Однако всегда стоит помнить, что политика и международная ситуация могут заставить польское правительство действовать еще быстрее и принимать конкретные решения.

Автор:
Александр Росликов