Po to, kai JAV žvalgybos organizacijos rekomendavo JAV piliečiams nesinaudoti „Huawei“ telefonais dėl to, kad šis Kinijos gamintojas esą yra labai artimai susijęs su savo šalies vyriausybe ir galimai nutekina privačią vartotojų informaciją savo šalies valdžiai, kilo klausimų: ar dėl savo privatumo turėtų susirūpinti ir Lietuvoje gyvenantys „Huawei“ įrangos naudotojai.

Dar svarbesni klausimai – kaip reikėtų apsisaugoti nuo nepatikimos įrangos patekimo į svarbių asmenų rankas, kad netyčia nenutekėtų ne šiaip privati asmenų informacija, o valstybės paslaptys? Ir ką daryti, jeigu „Huawei“ bazinės įrangos pagrindu pastatytas ištisas vieno operatoriaus bazinių stočių tinklas?

Šiuos klausimus uždavėme krašto apsaugos viceministrui Edvinui Kerzai, kuris yra atsakingas už kibernetinio saugumo ir hibridinio atsparumo klausimus.

– Kaip vertinate JAV žvalgybos institucijų rekomendacijas nesinaudoti „Huawei“ telefonais?

– Tiesą sakant, spaudoje pasirodo tik epizodai – tai viena programinė įranga, tai kitas kažkoks gamintojas. Tačiau mes matome kur kas platesnį paveikslą. Tų grėsmių, gamintojų, įrenginių yra gerokai daugiau negu viešuose šaltiniuose yra prieinama. Dėl to ir pats asmeniškai buvau Viešųjų pirkimų tarnyboje, jau yra inicijuotos įstatymų pataisos. Siekiama sukurti visą sistemą, kuri padėtų mums identifikuoti ir į tam tikrą juodąjį sąrašą įtraukti tam tikrą gamintoją arba produktą.

Iš tikrųjų pastaruoju metu matome ir tokią tendenciją, kad nereikia net Rytų kaimynų, nereikia Kinijos – net draugiškos valstybės Vakarų Europoje perka įmones arba steigia jų filialus ir perima programinės bei techninės įrangos gamybą. O tos įmonės darbuojasi nebūtinai gerais tikslais. Vienas paskutinių atrastų produktų buvo skirtas rezervinių kopijų darymui. Iš tikrųjų atrodė, kad patikima kompanija, iš Šveicarijos, gerai žinoma, bet paaiškėjo, kad ji yra tiesiogiai valdoma Rusijos saugumo tarnybų.

Matydami šį paveikslą sugalvojome, kad vis dėlto turime skubiai sukurti veikiantį mechanizmą, kuomet mūsų specialiosios tarnybos, bendradarbiaudamos su partneriais, atlikusios nepriklausomus tyrimus, galėtų teikti rekomendacijas Nacionaliniam kibernetinio saugumo centrui, kuris ir inicijuotų produkto ar gamintojo įtraukimą į nepageidaujamų sąrašus. Tuomet viešojo sektoriaus, ypatingos svarbos infrastruktūros savininkai tiesiog tokius produktus galėtų šalinti iš savo viešųjų pirkimų, nevertinti jų pasiūlymų, net jeigu jie ir pasiūlytų mažiausią kainą.

Šiandien bėda yra ta, kad institucija be rimtų argumentų negali nuspręsti, ar pasiūlyta įranga yra saugi, ar nesaugi. „Kaspersky Lab“ atveju tai buvo skubus veiksmas, nes situacija iš tiesų buvo kritinė, buvo surinkta masė įrodymų, patvirtinančių, kad nedraugiškos valstybės braunasi ir užvaldo tuos tinklus ir sistemas, dėl to buvo priimtas išimtinis Vyriausybės sprendimas siekiant suvaldyti grėsmę. Bet tikrai turime mąstyti apie visą veikiantį mechanizmą, o ne apie pavienius atvejus.

– Ar dėl tokių veiksmų – rekomendacijų šalinti pardavėjus iš viešųjų pirkimų konkursų – Lietuva nesusidurs su teisinėmis problemomis, su ieškiniais, pateiktais konkurencijos tarnyboms?

– Vykdėme konsultacijas su Europos Sąjunga, ir toliau jas vykdysime. Dalykas yra toks: jeigu sprendimai yra susiję su nacionalinio saugumo klausimais, tuomet šalis gali priimti štai tokius sprendimus.

Be abejo, negalėtume priimti tokio sprendimo, kuriuo pasakytume jums, paprastam piliečiui, kad tu štai būk geras, nepirk tos įrangos, nepirk tokio produkto, nebendradarbiauk su tokia kompanija – čia mes jau negalėtume ko nors nurodyti arba reguliuoti. Bet kur kalbama apie nacionalinį saugumą, apie ypatingos svarbos infrastruktūrą, apie valstybės gyvenimui kritines sistemas ir įmones, ten valstybė turi teisę tokius sąrašus sudaryti.

Galime kaip analogą arba kaip panašų atvejį paminėti įslaptintų sistemų techninę, programinę ir kitokią įrangą. Ji yra sertifikuojama. Ir leidžiama pirkti tik tokią įrangą, kuri yra patikimų produktų sąraše. Kitų gamintojų ji tiesiog negali būti. Tokių precedentų jau yra ir pasaulyje, ir Europos Sąjungoje.

– „Huawei“ bazinės įrangos pagrindu pastatytas „Telia“ mobiliojo ryšio paslaugų teikimo tinklas. Ar Krašto apsaugos ministerijos sprendimas nesertifikuoti šio gamintojo arba įtraukti jį į nepatikimų gamintojų sąrašus turėtų įtakos „Telia“ – pelno siekiančios verslo įmonės – tinklo perstatymui?

– Gali turėti įtakos. Bet akivaizdu, kad jeigu taip skubotai priimtume sprendimą ir pasakytume, „žinai, turiu įtarimą, tai tu pasikeisk įrangą“, tuomet čia būtų ir sąnaudų, ir laiko klausimas. Tad ką mes darome – tai darome sistemos auditą ir žiūrime, ar yra pažeidžiamumų konkrečiai tame tinkle, toje sistemoje.

„Telia“ atvejis yra ganėtinai sudėtingas – įranga jau yra tinkle, viešuose ryšiuose. Manau, pačiu artimiausiu metu bandysime tartis dėl rizikos vertinimo. Negaliu atskleisti visos informacijos – ji yra įslaptinta, bet „Telia“ yra ypatingą vaidmenį atliekanti įmonė, ji yra viena iš svarbesnių Lietuvoje, ypač telekomunikacijų srityje, tad jai galioja ir šiek tiek griežtesni valstybiniai reguliavimai bei taisyklės.

Iki šiol tikrai geranoriškai sudarinėjome planus, tikriname, žiūrime, bandome identifikuoti galimas silpnesnes vietas, tai galiu pasakyti tiek, kad iki šiol nebuvo užfiksuota tokių silpnesnių vietų, kurios darytų įtaką pačios įmonės veiklai ar klientų veiklai.

Be abejo, tai nereiškia, kad kažkur negali būti pasislėpusi kokia nors spraga. Piktavaliai tas atsargines duris, vadinamas „backdoor“, įjungia tik tada, kai jiems reikia. Negali kiekvieną dieną matyti jų atidarytų. Jos atidaromos tik ypatingais atvejais.

– JAV žvalgybos institucijos – CŽV, FTB, NSA ir kitos – viešai žiniasklaidai pateikė ganėtinai nedaug priežasčių nesinaudoti „Huawei“ telefonais. Esą, tai yra Kinijos vyriausybei artimas gamintojas. Jokių faktinių paaiškinimų, kodėl nepasitikima šia įmone, nepateikė. Dėl to visuomenėje kyla spekuliacijų, kad žvalgybos institucijos užsiima protekcija, JAV išmaniųjų telefonų gamintojo interesų gynimu. Ar mūsų šalies susijusioms institucijoms JAV žvalgybos įstaigos pateikė kokios nors informacijos, kurios nepasakė viešai?

– Jeigu būtų kokių nors įrodymų, kuriuos vadintume kritiniais, tai šiandien jau būtume ką nors padarę, jau kalbėtume apie tai, kodėl uždraudėme, tarkime, „Huawei“ produktams būti pas mus.

Šiuo konkrečiu atveju galėčiau kalbėti pats, iš savo asmeninės ir iš kitų ekspertų, kurie tyrinėjo tą įrangą ir žiūrėjo, kaip ji veikia, patirties. Iš nepriklausomų ekspertų girdėjau, kad jiems pavyko užfiksuoti vadinamuosius tunelius į Kiniją. Tai reiškia, kad įrenginiuose – ypač didesniuose – yra iš anksto įdiegta ryšio priemonė, kuri gali būti panaudota šifruotam duomenų perdavimui iš jūsų įrangos į nežinomą serverį Kinijoje.

Dar daugiau, esame fiksavę labai konkrečių atvejų. Ir kalbu ne apie „Huawei“, o apie kitus kiniškus produktus, kuriuos iš „AliExpress“ ir kitų interneto parduotuvių truputėlį pigiau yra įsigijęs dažnas lietuvis. Ypač kalbama apie internetines vaizdo kameras, kurios jungiasi į kompiuterinius tinklus. Buvo užfiksuota, kad jau jas atsisiuntus, naujose kamerose buvo įdiegti virusai, Trojos arkliai, vadinamieji P2P klientai, kurių tikslas yra... Na, pavyzdžiui, vaizdo kamerų – siųsti vaizdą tiesiai į Kiniją. Ir tada reikia galvoti, kokiu tikslu ta informacija gali būti panaudota – ypač, tarkime, vaikų, kūdikių, teritorijų stebėjimo kamerų. Akivaizdu, kad mūsų privataus gyvenimo detalės iškeliauja iš Lietuvos.

O pigesniuose telefonuose, vadinamuosiuose bevardžiuose, su nežinomos kilmės pavadinimais, kurie kainuoja po šimtą ar pusantro šimto eurų, tikrai akivaizdu, kad iš anksto pridiegta kažkokiam blogam tikslui skirtų kenkėjų.

– Ar aš iš jūsų girdžiu rekomendaciją nepirkti pigių produktų, kurių kilmės šalis yra įtartina?

– Tikrai taip. Galiu asmeniškai patvirtinti, kad tokiuose įrenginiuose esama rizikų, dėl kurių vėliau žmonės stebisi, kad lyg ir nenaršo internete, tačiau baigiasi jų duomenų planai. Tokios rizikos tikrai tūno ir mes patys nesąmoningai kuriame vidinius kenkėjus, insaiderius. Ir tas daiktų interneto sambrūzdis šalies viduje kelia didesnę grėsmę nei išoriniai veiksniai. Įprastai esame pratę saugoti perimetrą, gintis nuo išorinių grėsmių, o iš tiesų patys į perimetrą prisinešame skylių – belaidžių maršrutizatorių, išmaniųjų laikrodžių, kitų prie interneto besijungiančių elektronikos prekių.

– O ar remiantis JAV žvalgybos institucijų pateiktomis rekomendacijomis savo šalies piliečiams nepirkti „Huawei“ telefonų tą patį galima rekomenduoti Lietuvos gyventojams?

– Aš manau, kad truputį su tokiomis rekomendacijomis palaukime. Informacija gal ir nėra visiškai nauja, bet galbūt mes ko nors dar nežinome, gal yra kokių naujų duomenų. Tikrai žinome, kad gali laukti teisiniai ginčai, todėl tokių emocinių sprendimų nepriiminėjame. Atvirkščiai – tik pagrįstus, paremtus įrodymais, kad vėliau bylose, jeigu tokių būtų, nepralaimėtume.

Komentarai (10)