Ризик на долоні: чи може РФ отримати дані про ЗСУ завдяки китайським смартфонам

Нещодавно у Facebook порушили дуже важливе питання. А звучить воно так: чи безпечні китайські смартфони з модифікованими Android-системами для українських військових і волонтерів? Чи є якась імовірність, що такі смартфони відслідковує влада Китаю, а дані потім передає до РФ? Спробую докладно відповісти на нього.

Чи займаються китайські виробники протиправним перехопленням інформації користувачів, включаючи розмови, листування тощо? Кожен виробник із КНР обов'язково використовує власну оболонку, з якою ми, власне, взаємодіємо. Ця оболонка може мати приховану недокументовану функціональність, спрямовану на прихований збір інформації щодо поведінки користувачів. Варто відзначити, що виробників багато, всі вони різні та демонструють різні звички. Маленькі (порівняно з А- та В-брендами) виробники роблять будь-що, включаючи установку malware. Щодо компаній першої та другої ліги, вони також збирають стільки інформації, скільки в них виходить, не порушуючи місцеве законодавство. Тобто вони 100% можуть збирати геодані, але не записувати дзвінки або активувати камери. Думаю, на вимогу державних органів КНР виробники діляться цією інформацією зі спецслужбами, це загальноприйнята практика, на жаль.

Але якщо говорити про А-бренди, то за чотири роки США так і не змогли довести хоча б один такий випадок. Так що саме такий ризик у випадку OnePlus, Huawei, Xiaomi тощо я вважаю несуттєвим.

Чи можлива співпраця спецслужб КНР і РФ, включаючи обмін даними, накопиченими китайськими компаніями? З того, що я знаю/читав про фактичний стан справ у відносинах між двома державами, я не вірю в усталені регулярні відносини такого роду. За всієї риторики стратегічного союзництва КНР уникає будь-яких зобов'язань перед Кремлем. Надання даних (фактично постійний моніторинг) сотень мільйонів користувачів смартфонів – надто серйозна річ, яку для початку неможливо довго приховувати. "Спалити" таке джерело інформації заради свого фактичного васала – погана ідея. Це не в стилі китайців. Як разовий акт допомоги в якійсь екстремальній ситуації в обмін на дуже значні кроки з боку росіян — можливо. Але не більше.

Проблема безконтрольного доступу до геоданих користувачів провідних цифрових платформ світу. Це Android, iOS, продукти Meta (Facebook, WhatsApp, Instagram). В останні роки американські журналісти неодноразово демонстрували можливість придбати такі дані у величезних масштабах. Незважаючи на запевнення платформ і безпосередніх продавців таких даних, протоколи їхньої деперсоніфікації залишають можливість таргетування з точністю до окремої особи.

У разі нерезидентів США та ЄС жодних значущих "запобіжників", наскільки я розумію, немає. Власне, і для резидентів вони не спрацьовують, що було неодноразово продемонстровано. Тому, зокрема, ЄС вимагає від американських компаній дотримуватись правил GDPR та інших форм регулювання відповідних ризиків.

Так що китайські виробники — не єдиний канал витоку інформації і не найнебезпечніший. Американські компанії, наприклад, теж збирають інформацію зі 100% смартфонів і активно торгують цією інформацією. Все це означає, зокрема, що спецслужби РФ можуть просто закуповувати необхідні дані на відкритому ринку, маскуючись під комерційних користувачів. Сподіваюся, що хоча б зараз уряд США запровадив хоч якісь обмеження на таку діяльність. Сподіваюся, але не дуже вірю в це.

Минулого року в Україні розпочалася робота з імплементації європейської нормативної бази в галузі безпеки мобільних мереж. Відповідні регуляції, насамперед т.зв. EU 5G Cybersecurity Toolbox, пропонують ґрунтовний підхід до управління різноманітними ризиками, створюваними сучасними мережами. Серед іншого, йдеться про ризики, пов'язані з виробниками обладнання та програмного забезпечення.

Війна з Російською Федерацією актуалізує питання захисту національної інфраструктури від загроз. Хочеться вірити, що органи влади нарешті приділять цьому питанню належну увагу.