Риск на ладони: может ли РФ получить данные о ВСУ благодаря китайским смартфонам

Недавно в Facebook подняли очень важный вопрос. А звучит он так: безопасны ли китайские смартфоны с модифицированными Android-системами для украинских военных и волонтеров? Или есть какая-то вероятность, что такие смартфоны отслеживают власти Китая, а данные потом передают в РФ? Попробую подробно на него ответить.

Занимаются ли китайские производители противоправным перехватом информации пользователей, включая разговоры, переписку и т.д.? Каждый производитель из КНР в обязательном порядке использует собственную оболочку, с которой мы, собственно, взаимодействуем. Эта оболочка может иметь скрытую недокументированную функциональность, направленную на скрытый сбор информации о поведении пользователей. Стоит отметить, что производителей много, все они разные и демонстрируют разные привычки. Маленькие (по сравнению с А- и В-брендами) производители делают что попало, включая установку malware. Что касается компаний первой и второй лиги, они также собирают столько информации, сколько у них получается, не нарушая местное законодательство. То есть, они 100% могут собирать геоданные, но не записывать звонки или активировать камеры. Думаю, по требованию государственных органов КНР, производители делятся этой информацией со спецслужбами, это общепринятая практика, к сожалению.

Но если говорить об А-брендах, то за четыре года США так и не смогли доказать хотя бы один подобный случай. Так что именно такой риск в случае OnePlus, Huawei, Xiaomi и пр. я считаю несущественным.

Вероятно ли сотрудничество спецслужб КНР и РФ, включая обмен данными, накопленными китайскими компаниями? Из того, что я знаю/читал о фактическом положении дел в отношениях между двумя государствами, я не верю в устоявшиеся регулярные отношения такого рода. При всей риторике стратегического союзничества КНР избегает каких-либо обязательств перед Кремлем. Предоставление данных (фактически постоянный мониторинг) сотен миллионов пользователей смартфонов – слишком серьезная вещь, которую, для начала, невозможно долго скрывать. "Спалить" такой источник информации ради своего фактического вассала – плохая идея. Это не в стиле китайцев. Как разовый акт помощи в какой-то экстремальной ситуации в обмен на очень значимые шаги со стороны россиян — возможно. Но не более.

Проблема бесконтрольного доступа к геоданным пользователей ведущих цифровых платформ мира. Это Android, iOS, продукты Meta (Facebook, WhatsApp, Instagram). В последние годы американские журналисты неоднократно демонстрировали возможность приобрести такие данные в огромных масштабах. Несмотря на заверения платформ и непосредственных продавцов таких данных, протоколы их деперсонификации оставляют возможность таргетирования с точностью до отдельного лица.

В случае нерезидентов США и ЕС никаких значимых "предохранителей", насколько я понимаю, нет. Собственно, и для резидентов они не срабатывают, что было неоднократно продемонстрировано. Поэтому, в частности, ЕС требует от американских компаний соблюдать правила GDPR и другие формы регулирования соответствующих рисков.

Так что китайские производители — не единственный канал утечки информации, и не самый опасный. Американские компании, например, тоже собирают информацию из 100% смартфонов и активно торгуют этой информацией. Все это означает, в частности, что спецслужбы РФ могут просто закупать необходимые им данные на открытом рынке, маскируясь под коммерческих пользователей. Надеюсь, что хотя бы сейчас правительство США ввело хоть какие-то ограничения на подобную деятельность. Надеюсь, но не очень в это верю.

В прошлом году в Украине началась работа по имплементации европейской нормативной базы в области безопасности мобильных сетей. Соответствующие регуляции, в первую очередь т.н. EU 5G Cybersecurity Toolbox, предлагают основательный подход к управлению разнообразными рисками, создаваемыми современными сетями. Среди прочего, речь идет о рисках, связанных с производителями оборудования и программного обеспечения.

Война с Российской Федерацией актуализирует вопросы защиты национальной инфраструктуры от угроз. Хочется верить, что органы власти наконец уделят этому вопросу должное внимание.