Chiny to realne zagrożenie. UE zmienia przepisy o cyberbezpieczeństwie
Zagrożenia ze strony chińskich firm IT zostały uznane za realne przez europejskich polityków. Parlament Unii Europejskiej uważa, że import sprzętu i rozwiązań z Chin może wiązać się z ryzykiem istnienia "tylnej furtki". Bruksela przedstawiła też sposób obrony.
Tym samym Bruksela przyznała, że Europa uważa Chiny za zagrożenie informatyczne. Podobnie nastawione są Stany Zjednoczone. Donald Trump stara się całkowicie zablokować import urządzeń firm ZTE i Huawei. UE w ogóle ma podchodzić do relacji z Chinami bardziej realistycznie, asertywnie i ostrożnie.
Strach przed tylną furtką
Projekt nosi ogólną nazwę "akt ws. cyberbezpieczeństwa" (pełna wersja pod tym adresem). Choć dotyczy on głównie konkurencji z Chinami, być może w przyszłości będzie stosowany szerzej. Zbiór przepisów opisuje pierwszy w historii Unii Europejskiej sposób certyfikacji cyberbezpieczeństwa produktów, usług i procesów, które trafią na rynkek Unii Europejskiej.
Europosłowie są zaniepokojeni licznymi doniesieniami o tym, że chiński sprzęt telekomunikacyjny, który ma zostać wykorzystany do budowy sieci 5G, ma podobno liczne backdoory. Czyli celowo stworzone "tylne furtki", pozwalające dostać się do systemu. Obawy nie są nieuzasadnione. Wielokrotnie przekonaliśmy się, że backdoory mogą znajdować się w sprzęcie różnego typu, nawet jeśli ma trafić w ręce wojska lub organizacji rządowych.
W przypadku infrastruktury 5G politycy obawiają się konkretnie takich furtek, które pozwoliłyby Chińczykom uzyskać dostęp do danych osobowych Europejczyków, a być może nawet przejąć kontrolę nad siecią w UE. Choć ostatnia opcja wydaje się być jednak politycznym science-fiction.
Więcej kontroli
Europosłowie zdecydowali też o przyznaniu większych uprawnień unijnej Agencji Bezpieczeństwa Cyberprzestrzeni (ENISA), której zadaniem będzie zaprojektowanie certyfikacji dla europejskiego 5G. Zamierzają też wprowadzić lepszą ochronę konsumentów i łatwiejsze procedury dla przedsiębiorców. Certyfikacja będzie dobrowolna, a w 2023 roku regulatorzy zdecydują, które elementy mają być obowiązkowe. Docelowo obejmie nie tylko sprzęt telekomunikacyjny, ale też kluczową infrastrukturę energetyczną, wodociągi, systemy bankowe i wiele innych.
Zadaniem Komisji Europejskiej będzie teraz opracowanie wytycznych, jak nabywcy sprzętu z Chin mają radzić sobie z zagrożeniami, a w szczególności z podatnością na ataki przy zakupie elementów infrastruktury 5G. Jednym z zaleceń jest korzystanie z usług wielu dostawców i rozkładanie zakupów w czasie. Nie zaszkodzi też uniezależnić się od usług ze Wschodu.
Zagrożenie potwierdzone niemal jednogłośnie
Głosowanie nad unijnym "aktem ws. cyberbezpieczeństwa" odbyło się we wtorek 12 marca. Projekt został przyjęty niemal bez sprzeciwu. Poparło go 586 posłów. Przeciw zagłosowało jedynie 44, a od głosu wstrzymało się 36. Akt został wstępnie skonsultowany z państwami członkowskimi, teraz czeka na zatwierdzenie przez Radę Europy.
Parlament Europejski przyjął także niepokojącą rezolucję, wzywającą do działań na szczeblu całej UE. Obawy budzi nie tylko ilość backdoorów, jakie znajdowane są w importowanym z Chin sprzęcie, ale też rosnąca obecność chińskich rozwiązań technicznych na Starym Kontynencie.
Chiny tylko "bronią państwa"
Parlament Europejski jako jedno z zagrożeń wskazał także przepisy obowiązujące w krajach spoza Unii. Chiny przykładowo działają w ramach swojego prawa o ochronie państwa, które politycy UE widzą jako zagrożenie cybernetyczne.
Przepisy te nakładają na chińskie firmy, w tym producentów i dostawców sprzętu telekomunikacyjnego, obowiązek współpracy z organami państwowymi w zakresie ochrony bezpieczeństwa narodowego, co samo w sobie jest pojęciem niezwykle szerokim. W skrócie: prawo zobowiązuje prywatne firmy do szpiegowania innych krajów. Wystarczy, że zostaną uznane za zagrożenie, a trudno by nie zostały.