Водещият световен доставчик на оборудване за изграждане на телекомуникационни мрежи - китайският “Хуауей”, може да бъде засегнат от новите мерки за подобряване на сигурността на 5G мрежите, договорени между страните членки. Координираният подход, одобрен в сряда от Европейската комисия (ЕК), обаче не ограничава достъпа на компанията до европейските обществени поръчки, оставяйки избора на националните власти.
Службите за сигурност ще имат последната дума по оценката на рисковете, които доставчици от страни извън ЕС, представляват за сигурността на мрежите от пето поколение. Ако бъдат преценени като високо рискови, те трябва да не бъдат допускани до критичните части от мрежите, сред които основните мрежови функции и управлението на мрежите. Това обясни вицепрезидентът на Европейската комисия Маргрете Вестагер в Брюксел.
Тиери Бретон, еврокомисарят, отговарящ за цифровата икономика, заяви, че ЕС “няма да забрани никого заради името или националността му”, стига да работи за управление на заплахите за сигурността. Ако не го прави обаче, няма да може да работи в Европа.
По данни на списание "Економист" публикувани в четвъртък "Хуауей" държи една трета от световния пазар на инфраструктура за 5G мрежи. Южнокорейският "Самсунг" я следва с 23,3%. Европейските лидери на такова оборудване - "Ериксон" и "Нокия" имат съответно 20 и 13 на сто.
Заради по-голямата уязвимост от кибератаки, страните от ЕС решиха да съгласуват общи действия за подобряване на сигурността на 5G мрежите:
“Поради по-малко централизираната си архитектура, интелигентната изчислителна мощност в периферията си, нуждата от повече антени и повишената си зависимост от софтуера, 5G мрежите предлагат повече потенциални възможности за атаки срещу сигурността им”, се казва в документа на Комисията.
Ето защо ЕК поиска държавите членки в следващите три месеца да предприемат съгласувани мерки за повишаване на защитата им. Те съдържат оценяване на рисковите профили на доставчиците, въвеждане на ограничения за високорисковите от тях, насърчаването на участието на европейски производители на оборудване, забрана един доставчик да изгражда всички елементи от мрежата, така че да се създава зависимост от него. Предвижда се и затягане на изискванията и към операторите на мобилни мрежи, които трябва да подсилят правилата за опериране, контрол и мониторинг на мрежите и ограничаване на възлагането на специфични функции на външни подизпълнители. Заложено е и увеличаване на правомощията на регулаторите да проучват обществените поръчки и доставки, разработване на възможностите за тестване и одитиране и гарантиране на киберсигурността на 5G проекти, финансирани с европейски средства.
Страните, които искат да въведат по-строги правила могат да го направят, но тъй като изборът на доставчик на оборудването е право на националните власти, в последна сметка те ще преценят кого ще допуснат до 5G мрежите си, казва Еврокомисията.
Рискове и злодеи
Насоките се базират на координирана оценка за риска за киберсигурността на 5G мрежите, изготвена през октомври 2019 г. от Еврокомисията и страните членки. Тя установи 9 риска за сигурността на новото поколение мрежи, които разчитат в по-голяма степен на софтуера. Това ги прави по-уязвими към пропуски в сигурността заради некачествен софтуер или пробиви през “задни вратички” в продуктите, загуба на контрол върху оборудването или лошокачествено оборудване, използване на мрежите от организираната престъпност, намеса на други държави, прекъсване на критична инфруструктура или услуги, прекъсване на електричеството, зависимост от един доставчик и злоупотреба с “Интернет на нещата” в ущърб на крайните потребители.
Сред потенциалните злонамерени обекти, ЕС преценява като най-опасни държави, които не са членове на съюза или търговски субекти, ползващи се от държавна подкрепа, се казва в оценката на риска. Освен това се смята, че изграждането на мрежите от един доставчик, поставя в прекомерна зависимост операторите от потенциално прекъсване на доставките и би задълбочила ефектите от слабости и уязвими места.
Оценката определя три категории риск за функционирането на мрежите. От критично значение са ключовите функции на мрежите, които включват оборудване за идентифициране на ползвателите, функциите за управление на роуминга и сесисите, информацията за преноса на данните на ползвателите, регистрацията и оторизацията на мрежовите услуги, съхранението на данните за ползвателите и мрежите, връзките с останалите мобилни мрежи, както и управлението на мрежите.
Насоките предлагат тези дейности да бъдат подложени на най-строг режим на контрол и да предвиждат схема за сертифициране на доставчици на подобни системи.
Втората степен на риск е “висока” и се отнася до базовите станции на мрежите. Със среден до висок риск се преценяват управлението на системите за сигурност и поддръжка, разплащателните системи, рутърите, суичовете, филтриращото оборудване, както и мрежовите усулги, предоставяни от външни партньори.
Страховете
Стъпките на Брюксел идват в отговор на съмненията, че “Хуауей” предоставя информация, събирана чрез разработения от нея софтуер, на китайското правителство и след призивите от САЩ компанията да не бъде допускана до критичната инфраструктура на комуникационните 5G мрежи. САЩ вече ѝ забраниха достъп до доставките на оборудване.
В началото на седмицата германският вестник “Ханделсблат” публикува информация, която се позовава на данни от германското разузнаване, че служителите на китайската компания са задължавани да предават информация за клиентите си на властите в Пекин. В отговор “Хуауей” заяви, че „никога и никога няма да направи нищо, за да компрометира сигурността на мрежите и данните на своите клиенти“.
Според британския вестник “Файненшъл таймс” европейските мерки за 5G, до голяма степен следват стратегията на Обединеното кралство за изключване на оборудване, предоставено от високорискови доставчици - като “Хуауей” и ZTE, за чувствителното „ядро“ на мрежата, където се обработва информация за клиентите. В същото време, те могат да участват в изграждането на антени и друга периферия на мрежите.
Тиери Бретон потвърди, че ЕС и Обединеното кралство са работили заедно до края на 2019 г. по разработването на плана, без да се ангажира със сравнение между двата подхода.
“Хуауей” реагира и в двата случая със задоволство и приветства „необвързания и основан на факти подход“ на ЕС и на Великобритания.
Според наблюдателите избраният от ЕС подход се опитва да не разгневи прекалено САЩ, които настояват за изключване на “Хуауей” от 5G и нежеланието да бъде предизвикван Китай поради непредвидимостта на реакцията от Пекин.
Къде сме ние?
В България за безопасността на 5G мрежите и изпълнението на европейските препоръки за подобряване на сигурността им отговаря Държавната агенция “Електронно правителство”. Засега тя не е публикувала на сайта си информация за плановете си да реализира до 30 април съгласуваните мерки.
Затова пък там може да се открие доклад на Европейската комисия от 2019 г. за навлизането на цифровите технологии в икономиката и обществото. В него се казва, че България е на последно място по индекса, с който Брюксел измерва конкурентоспособността в областта на цифровите технологии (DESI). Според него България се справя добре в свързаността, скоростта на интернет и цифровите услуги, но резултатът ѝ по отношение на човешкия капитал и уменията за работа с цифровите технологии е “сред най-ниските в ЕС”, а внедряването на цифровите технологии “е под средното равнище”. Еврокомисията отбелязва, че липсва “всеобхватна стратегия, която да подкрепя цифровата трансформация в България”.
Само 14% от честотите за работа на 5G мрежите са разпределени заради дълго отлаганото освобождаване на радиочестотния спектър в обхватите 700 и 800MHz. Според Еврокомисията едва 47% от програмите за финансиране на цифровизацията през еврофондовете е усвоено две години преди края им заради липсата на национално съфинансиране.
