Politizacija i polarizacija industrije

Američki predsjednik Joe Biden potpisao je Zakon o sigurnoj opremi, koji će imati veliki utjecaj na sigurnosnu i telekomunikacijsku industriju. Prema njemu, američka Federalna komisija za komunikacije (FCC) više neće uzimati u obzir prijave za dobijanje licenci koje šalju kompanije označene kao “sigurnosna prijetnja”. To se, u prvom redu, odnosi na kineske proizvođače
Piše: Mirza Bahić
E-mail: redakcija@asadria.com
Posljedice će zasigurno biti nesagledive, kako u sferi telekomunikacija tako i u sigurnosnoj industriji, a razlog je prost – na crnoj listi kompanija našlo se pet kineskih tehnoloških divova, među njima i najmanje dva ključna sigurnosna igrača: Hangzhou Hikvision Digital Technology i Zhejiang Dahua Technology te Huawei, ZTE i Hytera Communications. Da, Hikvision i Dahua više nisu dobrodošli u projektima koje finansira američka vlada, što je, uz medijski više popraćenu zabranu vezanu za Huawei, prvorazredni tehnološki preokret koji može imati globalne implikacije.
Kako je Zakon donesen?
Zakon o sigurnoj opremi izglasan je gotovo jednoglasno u Senatu u oktobru 2021. godine. Zastupnički dom ga je podržao sa 420 glasova za i samo četiri protiv kao pokazatelj jedinstva u stavovima dvije najveće američke političke grupacije (demokrata i republikanaca) o statusu kineskih tehnoloških kompanija. Nešto ranije u martu FCC je objavio da je izdvojeno pet kineskih kompanija koje predstavljaju prijetnju nacionalnoj sigurnosti SAD-a uz obrazloženje da je to u skladu sa Zakonom o odobrenju nacionalne odbrane iz 2019. godine, čija je važna stavka bila i zaštita telekomunikacijske mreže na području države. Ipak, tada nije bilo zakonske obaveze odbijanja aplikacija navedenih kompanija za uključenje njihovih tehnologija u rad telekomunikacijskih mreža. Situacija je danas nešto drugačija jer proglašavanjem opreme kineskih kompanija “sigurnosno sumnjivom” ona se više neće moći koristiti u mrežnim sistemima na području Sjedinjenih Američkih Država.
“Zakon o sigurnoj opremi sada stupa na snagu i pobrinut će se da nesigurna oprema kompanija Huawei, ZTE i drugih subjekata više neće biti korištena u našim telekomunikacijskim mrežama. Ova oprema predstavlja neprihvatljiv rizik za našu nacionalnu sigurnost”, izjavio je povjerenik Federalne komisije za komunikacije Brendan Carr. I to nije sve – FCC već traži načine da se prethodno odobrene dozvole za kineske kompanije retroaktivno povuku. Očekivano, uslijedile su i službene reakcije iz Kine u kojima se kaže da Sjedinjene Američke Države bez dokaza optužuju kineske kompanije da bi spriječile njihovo širenje.
Hoće li Hikvision i Dahua moći poslovati u SAD-u?
Uprkos globalnim teškoćama i poremećajima u lancu snabdijevanja uzrokovanih pandemijskom krizom, kineski proizvođači se, zapravo, odlično nose s aktuelnom ekonomskom olujom u svijetu. Nakon sporog oporavka u prvom kvartalu 2020. tokom prvog vala koronavirusa, zabranom obuhvaćene kineske kompanije su u posljednjih 18 mjeseci ostvarile dobre rezultate, pa i rast. Njihove marže jesu bile nešto niže u 2021. u odnosu na maksimum ostvaren krajem 2020, ali jedina nepoznanica u budućoj prognozi njihovog rasta jeste potencijalni utjecaj Bidenovog Zakona o sigurnoj opremi. Koje su njegove moguće implikacije? Za početak, ovi propisi ne bi imali samo ogromne posljedice na poslovanje kineskih sigurnosnih kompanija u SAD-u već bi mogle znatno utjecati i na dobavljače koji koriste OEM proizvode tih firmi.
U oktobru su američki maloprodajni divovi Home Depot i Best Buy sa svojih polica povukli videonadzorne sisteme kineskih proizvođača Lorex i Ezviz. Lorex je, pri tome, podružnica kompanije Dahua Technology, a Ezviz brend videonadzornih kamera u vlasništvu Hikvisiona. Lorex je nakon ovog čina uklonio logotipe pet maloprodajnih partnera sa područja SAD-a sa svoje web-stranice. Predstavnici platforme Home Depot naveli su da su odmah prestali prodavati Lorexove proizvode čim im je na to skrenuta pažnja. Iako novi propisi ne preciziraju dinamiku prema kojoj bi sporna tehnologija trebala biti uklonjena, organizacije koje koriste zabranjene tehnologije vjerovatno će dobiti prijelazni rok da uklone ovu opremu i počnu koristiti isključivo videonadzorne uređaje i tehnologiju usklađenu s Zakonom o odobrenju nacionalne odbrane (NDAA) i odlukama FCC-a.
Brojni izazovi za krajnje korisnike
Samo donošenje zakona NDAA predstavljalo je značajan preokret u sigurnosnom sektoru SAD-a jer su se tamošnji proizvođači morali brzo preorijentirati i početi tražiti zamjenske komponente kako bi osigurali usklađenost s važećom regulativom. Integratori, projektanti i krajnji korisnici suočili su s izazovom pronalaska kompatibilnih kamera koje ne koriste nijednu zabranjenu komponentu. Pored postojećih faktora cijene, kvaliteta, rokova za izvođenje i industrijskih standarda, dobavljači i sistem-integratori u SAD-u sada se moraju pozabaviti dodatnim izvorom briga – usklađenošću svojih proizvoda s novim propisima o tzv. sigurnoj opremi.
Situaciju na američkom sigurnosnom tržištu dodatno otežava sveprisutnost kineskih komponenti unutar videonadzorne opreme. To bi mnoge organizacije i škole moglo natjerati da odmah počnu planirati zamjenu svojih postojećih sistema kamera i srodne sigurnosne opreme. To znači i da proizvođači sada moraju nabavljati nove čipsete i druge zakonski usklađene komponente, dok će integratori i krajnji korisnici morati revidirati svoje postojeće sisteme kamera i cijeli lanac nabavke na koji se oslanjaju.
Prema pisanju američkih medija, mnoge kompanije su već sada prisiljene na traženje novih dobavljača, što zahtijeva ulaganje dodatnih napora u pronalasku ravnoteže između fizičke dostupnosti i regulatorne kompatibilnosti sistema. Dodatni problem predstavlja i potreba za organizacijom obuke cijelih timova za potrebe pravilne konfiguracije sistema i njegove instalacije. Za sistem-integratore koji često balansiraju između cijene i kvaliteta korištenih proizvoda, ovo će biti novi, a za neke i nesavladivi izazov u zadržavanju konkurentnosti na američkom tržištu.
Početak primjene obilježen skandalom
Nedugo nakon potpisivanja Zakona o sigurnoj opremi u Sjedinjenim Američkim Državama je izbio neobičan sigurnosni skandal koji pokazuje da njegova provedba na terenu ipak neće ići tako glatko, barem u početku. Naime, najmanje tri američke savezne agencije, uključujući vojsku, nabavile su videonadzornu opremu kineskih proizvođača koje je savezna vlada još ranije stavila na crnu listu.
Prema podacima portala TechCrunch, različite agencije su zajedno potrošile više hiljada dolara na kupovinu videonadzorne opreme koju proizvodi Lorex, podružnica kineske kompanije Dahua Technology. Dahua je ranije dodana i na listu kompanija obuhvaćenih ekonomskim sankcijama protiv Kine jer je, prema tvrdnjama američkih vlasti, povezana s aktivnostima u vršenju pritiska kineske vlade na ujgursku etničku manjinu u Xinjiangu. Ipak, nakon što je zabrana stupila na snagu, pojavili su se dokazi da su savezne agencije nabavile opremu kompanije Lorex posredstvom svojih ugovarača. Prema dostupnim informacijama, Agencija za borbu protiv droga kupila je devet Lorexovih hard diskova za nadzorne sisteme u maju 2021. Glasnogovornica Uprave za borbu protiv droga (DEA) Katherine Pfaff rekla je da je kupovina obavljena preko državnog portala za nabavke kojim upravlja Administracija za opće usluge, odnosno GSA Advantage. Za sada nema informacija je li Lorexova oprema povučena iz upotrebe.
U GSA nisu naveli zašto su zabranjeni sigurnosni proizvodi bili dostupni za kupovinu nakon što je zabrana stupila na snagu. Rečeno je tek da je pokrenut proces unapređenja sistema, uključujući pokretanje novog portala s verificiranim komercijalnim proizvodima u skladu sa zabranama iz 2019. I Služba za finansije i računovodstvo, koja posluje kao agencija u sklopu američkog Ministarstva odbrane, također je kupila Lorexove videonadzorne kamere preko svog dobavljača u New Yorku u julu 2021, kao i američka vojska, koja je nabavila videonadzorne sisteme i opremu za snimanje u periodu između 2019. i 2021. godine.
I šta sad?
Šta će biti posljedica donesenog zakona? Velika je vjerovatnoća da će ugovarači koji isporučuju zabranjenu opremu državnim institucijama izgubiti svoje ugovore. S druge strane, predstavnici sigurnosne industrije tvrde da su ugovarači i izvođači radova koji rade s državom dobili premalo vremena da omoguće punu primjenu važeće zabrane korištenja kineske tehnologije prije nego što je zakon stupio na snagu. “Zbog produženog vremena potrebnog za uvođenje pravila za takve dalekosežne zahtjeve ugovarači možda neće moći dosljedno ispuniti sve ciljeve iz donesenog zakona”, navedeno je u saopćenju Vijeća industrije informacijskih tehnologija. S druge strane, u kompaniji Lorex, koja se našla u centru zbivanja, navode da su njeni proizvodi namijenjeni isključivo za potrošačku i poslovnu upotrebu, a ne za savezne vladine agencije, kao ni za projekte koje finansira država. Isto važi i za ugovarače koji su obuhvaćeni propisima iz Zakona o odobrenju nacionalne odbrane (NDAA). Dodali su i da garantiraju da svoju opremu ne prodaju niti će prodati nijednom licu ili organizaciji koja je obuhvaćena važećim zabranama.
Budućnost
Bez obzira na ovaj skandal, aktuelni događaji su odlična ilustracija složenosti primjene zabrana ovog tipa na terenu, posebno ako znamo da one predstavljaju svojevrsni presedan u sigurnosnoj industriji. Dodatni teg oko vrata američkim integratorima, distributerima, proizvođačima i, konačno, krajnjim korisnicima jeste i činjenica da su kompanije čiji su proizvodi obuhvaćeni novim propisima među najjačim sigurnosnim i tehnološkim igračima na svijetu. Vrijeme pred nama će pokazati hoće li ovo dovesti do krupnijih lomova na sigurnosnom tržištu, makar se već sada može reći da će ono, bez obzira na ishode, ostati trajno obilježeno ovim spletom događaja.
Dahua posluje u skladu s važećim propisima
U reakciji na nedavno doneseni Zakon o sigurnoj opremi, kompanija Dahua Technology je pozvala sve aktere da provjere njen kredibilitet kada je u pitanju posvećenost cyber sigurnosti. U odgovoru se navodi i sljedeće:
“Kao što smo javno i dosljedno navodili, Dahua Technology ne predstavlja i nikada nije predstavljala nikakvu vrstu prijetnje za Sjedinjene Američke Države. Poštujemo pravo američke vlade da regulira tržište na način na koji to smatra prikladnim. Međutim, mi smo korporacija i javno dioničko društvo koje postoji kako bi ispunjavalo obaveze prema našim dioničarima, kao i snosilo korporativnu odgovornost prema našim klijentima, zaposlenicima i drugima. Nismo u vlasništvu niti pod kontrolom bilo koje vlade. Naša kompanija ne postupa i ne djeluje na način koji je suprotan vanjskopolitičkim interesima bilo koje zemlje u kojoj poslujemo. Nastavljamo primjenjivati ono za šta se zalažemo s ciljem kreiranja sigurnijeg društva i pametnijeg življenja. Mi vodimo naše poslovne operacije u skladu sa svim primjenjivim zakonima i pravilima.
Razumijemo da u savremenoj sigurnosnoj industriji cyber sigurnost predstavlja najveći izazov. Našim klijentima smo ponudili rješenja za korekciju navedenih problema. Kompanija Dahua Technology cyber sigurnost shvata vrlo ozbiljno i zato smo implementirali temeljnu cyber sigurnost u sam dizajn naših proizvoda, i to kroz sedam modula. Otvorili smo Dahua Cybersecurity Center (DHCC) za rješavanje problema iz oblasti cyber sigurnosti i on će ponuditi robusnije i sigurnije proizvode i rješenja za korisnike. Dahua Technology takođe pridaje veliku važnost zaštiti ličnih podataka i privatnosti. U skladu s primjenjivim zakonima i propisima, kao što su Opća uredba o zaštiti podataka (GDPR), smjernice EDPB-a i ETSI EN 303645 standard cyber sigurnosti za potrošački internet stvari, kompanija Dahua Technology je dobila i certifikat za zaštitu privatnosti proizvoda za IoT i ETSI certifikat od TÜV Rheinland, kao i ISO 27017 i ISO 270 certifikat od BSI. Oni su pokazatelji naše sposobnosti da upravljamo ličnim podacima i ponudimo usklađenost s propisima o privatnosti iz cijelog svijeta”, navode iz ove kompanije.
Hikvision se odlučio za pravnu borbu
Hikvision se protiv posljednih poteza američke vlade odlučio boriti i pravnim putem. Kompanija je Federalnoj komisiji za komunikacije SAD-a poslala žalbu u kojoj se navodi da Komisija nema zakonsko ovlaštenje da isključi Hikvisionovu tehnologiju iz procesa odobravanja opreme. Razlog za to je činjenica da Hikvision ne nudi mrežnu opremu za širokopojasni internet. Istovremeno, sam Zakon o sigurnoj opremi nije proširio spisak tipova opreme koja podliježe zabrani prema Zakonu o sigurnim i pouzdanim komunikacijskim mrežama iz 2019. Kako su u fokusu ovog zakona isključivo komunikacijske mreže, a ne periferni uređaji poput Hikvisionovih, u kineskoj kompaniji navode da videonadzorne kamere i mrežni videosnimači nisu povezani s funkcijom pružanja usluge pristupa širokopojasnom internetu. Kako Hikvisionova tehnologija ne predstavlja “komunikacijsku opremu ili uslugu”, zatraženo je skidanje sa crne liste. Istovremeno, kompanija je angažirala američki FTI Consulting da uradi procjenu kvaliteta tehnologije cyber sigurnosti koja se koristi za kamere i mrežne videosnimače ovog proizvođača. Rezultati procjene su pokazali da navedeni uređaji ne predstavljaju izvor rizika za krajnjeg korisnika u bilo kojem okruženju i primjeni. FTI je utvrdio da se komunikacija između uređaja i Hikvisionovih servera odvija u skladu s normalnim načinom rada. Osim toga, testiranje i analiza nisu otkrili nikakve standardne vidove ranjivosti i izloženosti (CVE) ni na jednom uređaju, kao ni mogućnost da neovlaštena strana pristupi videosignalu.