JAV žvalgybininkų pareiškimai, nukreipti prieš „Huawei“ – tai akivaizdaus lobizmo atvejis, nedaug kuo besisiejantis su kibernetiniu saugumu, tvirtina Lietuvos ryšio operatoriaus „Telia“ technikos vadovas Andrius Šemeškevičius. „Telia“ naudoja „Huawei“ techniką, todėl už kibernetinį saugumą atsakingas Lietuvos krašto apsaugos viceministras Edvinas Kerza prasitarė, kad tai gali būti problema.
A. Šemeškevičius, kalbėdamasis su „15min“, pabrėžė, kad bet koks „Huawei“ bandymas palikti „atsargines duris“ Kinijos vyriausybei būtų tolygus mirties nuosprendžiui: sužinojus apie tokią verslo praktiką su šia įmone, kuri investuoja milijardus dolerių į tyrimus, jokių ryšių nenorėtų palaikyti nė viena įmonė už Kinijos ribų, tuo tarpu dabar „Huawei“ klientų – ryšio operatorių, naudojančių šios bendrovės tinklo įrangą, – yra net 170 pasaulio valstybių.
Andrius Šemeškevičius
Žygimanto Gedvilos, „15min“ nuotr.
„Huawei“ yra neabejotinas pasaulinis lyderis. Galime pasižiūrėti metines ataskaitas, kiek jie sukiša pinigų į tyrimus ir diegimą – visi kiti kartu sudėjus tiek nesiekia. Tai „Huawei“, kaip kiniškas buldozeris, kaip volas, važiuoja per visus likusius. Visi likusieji bando saugotis. Ir natūralu, kad amerikiečiai proteguoja savus – taip proteguojami „Cisco“ ir „Juniper“, kuris apskritai yra mirštantis gamintojas“, – sakė A. Šemeškevičius. „Telia“ atstovas skeptiškai vertina JAV žvalgybininkų pareiškimus, kad „Huawei“ telefonais nederėtų naudotis dėl kažkokių grėsmių kibernetiniam saugumui.
„Kalbant būtent apie šį gamintoją nesu matęs, kad būtų koks nors jų telefonas „pagautas“. Natūralu, kad įrenginių bandymuose, įvairiose laboratorijose visi ieško tokių dalykų ir telefonas nežino, per kokią infrastruktūrą jo signalas toliau keliauja. Vadinasi, telefoną galiu prisijungti prie bazinės stoties, ir telefonas nebežino, kas vyksta už bazinės stoties. Tai aš ten galiu visus įmanomus filtrus, ugniasienes, informacijos paketų analizės įrangą susidiegti ir žiūrėti, kokia informacija siuntinėjama. Ir tą realiomis sąlygomis daro ir visi operatoriai, ir tyrinėtojai. Ir įrodymų, kad būtų įvykęs duomenų nutekėjimas, nėra buvę. Todėl diskutuoti apie pasisakymus, kad tie telefonai yra nesaugūs, nes juose įdėta kažkas šnipinėjančio, sunku, nes aš nemačiau jokių faktų“, – sakė A. Šemeškevičius.
Anot jo, jeigu vartotojai pastebi, kad telefonas net savininkui nežinant siunčiasi kažkokius duomenis, tai visų pirma reikia įvertinti kitas versijas – gal kokios programėlės atsinaujina, gal vartotojas sutiko dalyvauti gamintojo pasiūlytoje „patirties programoje“, kuri renka ir gamintojui siunčia nuasmenintą informaciją apie tai, kaip naudojamas telefonas, siekiant pagerinti programinės įrangos naudojimą. Tačiau tai – anaiptol ne unikali „Huawei“ praktika, lygiai taip pat elgiasi visi išmaniųjų telefonų gamintojai, įskaitant „Google“.
„Akivaizdu, kad tokio lygio gamintojui, kaip „Huawei“, jeigu pas juos būtų kažkas tokio [šnipinėjančio – red.], būtų tolygu mirčiai. Įsivaizduokime: vienas iš didžiausių pasaulyje elektronikos gamintojų, turintis milijardinę apyvartą, padaro tokį dalyką. Jie gi sau, kaip įmonei, pasirašytų mirties nuosprendį“, – sakė A. Šemeškevičius.
Valstybė prieš valstybę?
Praėjusiais metais „15min“ kalbintas „Telia“ partnerio, Izraelio įmonės „CyberGym“ vadovas Ofiras Hasonas yra sakęs, kad tokiais pareiškimais JAV žvalgybos institucijos nesišvaisto be reikalo, be to, į Izraelio ryšių infrastruktūros statybos konkursus „Huawei“ nėra įleidžiami taip pat dėl rimtų priežasčių, tačiau A. Šemeškevičius teigia, kad tokių teiginių priežasčių reikia ieškoti kitur.
„Čia kovoja valstybė su valstybe. Ta pati Kinija, tarkime, nenaudoja „Windows“ operacinės sistemos. Rusijos kariuomenė nenaudoja „Windows“. Manau, čia yra lygiai tas pats. Izraelis, galima sakyti, yra karo su palestiniečiais padėtyje ir daro viską, kad užkirstų bent mažiausią grėsmės galimybę. Natūralu, kad nenorima įsileisti jokio gaminio iš potencialiai priešiškos teritorijos, ypač į kritinę infrastruktūrą“, – sakė „Telia“ atstovas.
Be to, ryšių tinklo infrastruktūrą įprasta statyti „sumuštinio“ principu – į nuoseklią grandinę sujungiami panašią funkciją atliekantys, tačiau skirtingų gamintojų pateikti, skirtingą programinę įrangą naudojantys įrenginiai, kurie veikia tarsi daugiasluoksnis filtras. Ir jeigu vienas sluoksnis pradeda elgtis „ne taip, kaip numatyta“, galima tikėtis, kad kiti sluoksniai apsaugos nuo galutinio nenumatytų veiksmų atlikimo.
„Ką daro tie patys amerikiečiai? Jie pasitiki amerikietiškomis įmonėmis. Jie ima kelių amerikiečių gamintojų įrangą ir sumuštinio principu, kuriame yra vienas po kito jungiami įrenginiai, stato bet kokią skaitmeninę paslaugą. Pavyzdžiui, tinkle informacija turi praeiti per du ar tris įrenginius, kurie savo funkcijomis yra panašūs, tačiau yra skirtingų gamintojų ir su skirtinga programine įranga. Ir jeigu viename iš įrenginių nutinka kas nors negerai, yra tikėjimas, kad antras arba trečias įrenginys sulaikys ir išsiaiškins, kas ten negerai. Panašiai, kaip laivo korpuso sluoksniai – vieną pramušus vanduo nebūtinai pateks į vidų. Tai tik tokiu būdu galime jaustis saugesni, bet negalime jaustis absoliučiai saugūs“, – sakė „Telia“ technikos vadovas. Dėl to jam sunku įsivaizduoti, kaip tinklo infrastruktūros įranga gali nesankcionuotai perdavinėti duomenis kažkokiems šeimininkams Kinijoje – tokią baimę dėl „Huawei“ ir ZTE įrangos „papildomo funkcionalumo“ JAV žvalgybos tarnybos paskleidė dar prieš šešetą metų.
„Kitaip tariant, mano supratimu, čia yra daugiau šaukimo ir baimės kėlimo. Ir tiems, kurie to nesupranta, tai taip, čia skamba baisiai: kinų įranga kažkokioje tinklo dalyje. O kas, jeigu ji nesaugi? Taip, skamba baisiai. Bet kai pradedi gilintis, žiūrėti į statistiką ir galimybes, pradedi suprasti, kad tai yra sunkiai įmanoma. Nors niekada negali už viską garantuoti šimtu procentų“, – sakė A. Šemeškevičius.
Be to, kinai amerikiečiams lengvai galėtų atsiskaityti ta pačia moneta. Juk neseniai nuskambėjęs „Intel“ procesorių architektūros spragų atvejis, gerai pasistengus ir pritempus, gali būti vertinamas kaip tyčinis „atsarginių durų“ specialiosioms tarnyboms įtaisymas. O procesoriai pagal šią skylėtą architektūrą gaminami beveik dvi dešimtis metų. Arba dar naujesnis „Cisco“ spragos atvejis: pats amerikiečių tinklo įrangos gamintojas sausio pabaigoje paskelbė apie savo jau nebegaminamos įrangos milžiniškos svarbos spragą – ji pagal pavojingumą įvertinta 10/10.
„Vadinasi, per tą skylę tie, kurie apie ją žinojo anksčiau, visiškai nepalikdami pėdsakų galėjo įlįsti į kompanijų tinklus ir klausyti bei matyti, kas vyksta viduje. Kyla klausimas – ar tai buvo architektūros klaida, ar sąmoningas skylės palikimas specialiosioms tarnyboms. Niekas į šį klausimą neatsakė ir neatsakys“, – sakė A. Šemeškevičius. Tad, kadangi jokia prie tinklo jungiama įranga nėra nepažeidžiama iš kibernetinio saugumo pusės, visos valstybės stengiasi pasitikėti arba savo šalies, arba „draugiškų valstybių“ gaminama įranga.
Didžiausia bėda – sena ir nebepalaikoma įranga
„Telia“ atstovas, prisimindamas KAM viceministro Edvino Kerzos teiginį, kad bet kokia pigesnė kiniška elektroninė įranga iš įtartinų interneto parduotuvių gali tapti programišių laisvai varstomais vartais į nieko neįtariančių žmonių privatų gyvenimą, įžvelgė kiek kitokią problemą. Anot jo, visi elektronikos, kaip ir automobilių, gamintojai stengiasi, kad jų įranga būtų saugi. Tačiau tik kol neišvažiuoja pro gamyklos vartus (geriausiu atveju – ir kelis metus po to). „Aš pats turiu vieną pirmųjų „Linksys“ IP kamerų. Įmonę „Linksys“ nupirko „Cisco“. Bet tai yra gamintojo nebepalaikoma kamera. „Cisco“ ar „Linksys“ nebekuria atnaujinimų. Ir kamera yra žinoma tarp „išlaužtų“. Ką tai reiškia? Jeigu kamera prijungta prie interneto, jai nuotoliniu būdu atsiuntus tam tikrą komandą gaunamas priėjimas prie vaizdo ir garso. Ir gamintojas, kadangi kamera yra 10 metų senumo, jai jokių atnaujinimų nebekuria. Tai ką daryti? Gamintojas kaltas? Bet juk gamintojai neprisižada visą gyvenimą palaikyti tų kamerų programinės įrangos. Tai man tą kamerą reikėtų išmesti. Bet kai prisijungiu, man ji labai patinka. Ji rodo gerą vaizdą, galiu prisijungęs ją sukioti, pritraukti vaizdą ir panašiai. Bet ji absoliučiai nesaugi“, – sakė A. Šemeškevičius.
Anot jo, tokio nesaugumo priežastis – produkto „senatvė“ ir ją valdančios operacinės sistemos atvirumas. Mat dažniausiai tokiuose įrenginiuose naudojama kokia nors miniatiūrizuota atviro kodo operacinės sistemos „Linux“ versija, o gamintojas būna įsipareigojęs savo modifikuotą kodą taip pat publikuoti viešai. „Jeigu esu geras programuotojas ar visa programuotojų armija, aš tą kodą paanalizavęs – galbūt dar ir su kokiais nors dirbtinio intelekto algoritmais – galiu rasti skyles. Ir tada jau pirmyn: naudodamasis tomis skylėmis galiu gauti prieigą prie to specifinio įrenginio“, – teigė specialistas. Ir pridūrė, kad tik geros reputacijos gamintojai stengiasi bent kurį laiką – na bent penkerius metus – prižiūrėti savo produktų programinį saugumą, siųsti jiems naujinius, užkamšančius viešai paskelbtas spragas.
Kai kurie „greituoju ir pigiuoju“ būdu dirbantys kinai užtikrinti ilgamečio palaikymo nesivargina, tad jeigu kokių spragų jie ir palieka, jos surandamos ir išnaudojamos visų, kurie tik nepatingi ar turi pakankamai išteklių. Dėl palaikymo ciklo pabaigos, anot jo, nebesaugūs ir išmanieji telefonai su antros ar trečios versijos „Android“ sistema – ši dėl savo didelio populiarumo yra neseniai pripažinta „labiausiai skylėta pasaulyje“, o senoms „Android“ versijoms naujiniai jau nebekuriami, tad apsilankius piktybinėse svetainėse jų valdymą gali perimti visiškai nežinomi asmenys. Ir lygiai tą patį galima pasakyti apie „iPhone“ su seniai atnaujintomis operacinėmis sistemomis. „Naujas „Huawei“ yra saugesnis už seną „iPhone“. Vienareikšmiškai. Bet jis saugus tik šiandien. Kas bus vėliau – nežinoma“, – sakė A. Šemeškevičius.