04.02.2023.

Špijunaža i krađa podataka: Kineski dobavljači IoT prijetnja za britanske kompanije  

Kineske kompanije koje isporučuju mrežne komponente, poznate kao IoT moduli, predstavljaju veću dugoročnu prijetnju sigurnosti Ujedinjenog Kraljevstva od sada zabranjenog 5G dobavljača Huawei, prema studiji stručnjaka za Kinu i bivšeg diplomate.
Kineske tehnološke kompanije isporučuju komponente koje se koriste u širokom spektru industrijskih i domaćih pametnih uređaja koji bi mogli izložiti kompanije i vlade elektronskom špijuniranju od strane kineske države.
Kineski razvoj modula mobilnog interneta stvari (IoT), koji se široko koriste u pametnim uređajima u poljoprivredi, proizvodnji, transportu i CCTV-u, predstavlja ozbiljan, ali uglavnom neprepoznat rizik, prema studiji.
Studija Charlieja Partona, vodećeg stručnjaka za Kinu sa 37 godina u diplomatskoj službi, upozorava da dugoročno oslanjanje na module kineske proizvodnje u IoT-u predstavlja veći rizik od kineske 5G tehnologije koju je isporučio Huawei – sve dok nije zabranjena u decembru 2020.
Parton je za Computer Weekly rekao da bi Velika Britanija i druge zemlje trebale zabraniti opremu kompanijama kojima se ne vjeruje kao dobavljačima, ali je rekao da uklanjanje postojećih IoT uređaja vjerovatno nije praktično.
„Rekao bih da Velika Britanija, zajedno sa drugim slobodnim i otvorenim zemljama, treba da uvede zabranu kompanijama koje nisu pouzdani dobavljači“, rekao je Parton.
"Ne zagovaram "iscijepi i zamijeni", što bi bilo nepraktično, s obzirom na broj ćelijskih IoT modula koji su već instalirani, osim u slučaju najosjetljivije odbrambene i sigurnosne opreme i procesa", dodao je Parton.
"Manje osjetljiva područja mogu biti podložna vremenskom ograničenju, nakon čega bi oprema koja sadrži module ovih kompanija diskvalificirala proizvod ili kompaniju iz isporuke vladinim i javnim korisnicima", rekao je Parton.
Parton tvrdi da su prijetnje stvarne. Naprimjer, u januaru su vladini zvaničnici otkrili kineski mobilni IoT modul, koji se koristio kao uređaj za praćenje u automobilu koji koriste visoki vladini zvaničnici, a koji je bio skriven u dijelovima nabavljenim od kineskih dobavljača, kako su izvijestili mediji.
Rast kineskih IoT dobavljača  
Dva dominantna kineska dobavljača IoT modula, Quectel i Fibocom Wireless, isporučuju IoT module nizu kineskih tehnoloških kompanija. Oni uključuju proizvođača nadzornih kamera HikVision; HiSilicon, koji dizajnira silikonske čipove; DJI, proizvođač dronova; i dobavljač telekomunikacione opreme ZTE – od kojih svaki podliježe kontroli izvoza u SAD.
 
Fibocom se proširio na Kanadu i SAD putem akvizicija i dobio ugovore za snabdijevanje proizvođača računara kao što su Lenovo, Dell i HP, koji koriste Fibocom module u svojim računarima.
Qualtec cilja na SAD i Latinsku Ameriku i pokušava se probiti na prekookeansko tržište automobila.
Kao i druge kineske kompanije, Quectel i Fibocom su vezani kineskim zakonima o nacionalnoj sigurnosti, koji od njih zahtijevaju da se povinuju zahtjevima kineske države.
Elektronska špijunaža
U izvještaju se upozorava da bi Komunistička partija Kine (CCP) mogla koristiti IoT module za prikupljanje podataka u obavještajne svrhe.
To bi moglo uključivati korištenje IoT modula ugrađenih u lance opskrbe i logističke sisteme koje koriste proizvođači sredstava za odbranu za stvaranje slike o tome koliko je rezervnih dijelova i sistema naoružanja isporučeno i gdje.
Podaci iz IoT modula, također, bi se mogli koristiti za identifikaciju pojedinaca koji bi mogli biti podložni regrutovanju od strane kineskih obavještajnih agencija.
Kombinovanjem podataka iz širokog spektra izvora bilo bi moguće identifikovati ključne vladine radnike i njihove potencijalne ranjivosti.
'Poduzetni komunizam'
Kineska industrijska politika ima za cilj osigurati da kineske kompanije dominiraju novim tehnologijama i industrijama.
Ono što Parton naziva „poduzetničkim komunizmom“ potiče kineske kompanije da kupuju strane firme, posebno startupe koje nisu zaštićene britanskim Zakonom o ulaganjima u nacionalnu sigurnost, da rastu, dobiju tehnologiju i intelektualno vlasništvo ili da smanje konkurenciju.
On tvrdi da bi Kina mogla pristupiti podacima iz IoT modula u logistici, proizvodnji i transportnim sistemima kako bi nadgledala industrijske lance nabavke.
Ti bi podaci omogućili uvid u produktivnost, količinu zaliha koje kompanije koriste i njihovu efikasnost.
Zlonamjerni akter bi mogao koristiti informacije da "podesi" svoje ponude za infrastrukturne projekte ili ponude za konkurente, kaže Parton, ili da stekne druge strateške prednosti u odnosu na svoje konkurente.  
Rizici privatnosti za pojedince
Kineska komunistička partija bi, također, mogla ugroziti privatnost prikupljanjem podataka iz kineskih IoT modula koji se koriste u, naprimjer, nosivim uređajima kao što su pametni satovi, pametni kuhinjski uređaji, kamere na vratima i brojila struje i plina.
 
Prikupljanjem podataka koji se generiraju dok ljudi komuniciraju s IoT uređajima, posebno o elektronskim plaćanjima i putnim informacijama, moguće je utvrditi ko se s kim sastajao i gdje.
U kombinaciji sa mašinskim učenjem, bit će moguće predvidjeti gdje bi se osoba mogla nalaziti ili kako bi se mogla ponašati u određenom trenutku.
„Takva sposobnost predstavlja prijetnju ne samo slobodi pojedinca i slobodi izbora, već i sigurnosti zbog povećanog rizika efikasnih kampanja ucjene“, navodi se u izvještaju.
 
Pametni gradovi
Tehnologija kineskih dobavljača podupire razvoj pametnih gradova, koji gradskim vlastima pružaju bolje načine upravljanja transportom i infrastrukturom.
Međutim, izgrađena je na prisilnom radu koji je naručila Komunistička partija Kine za policiju koja provodi torturu nad manjinskim stanovništvom kao što su Ujguri, koji su bili podvrgnuti logorima za interniranje u Kini.
Nacionalni centar za cyber sigurnost, ogranak GCHQ, upozorio je 2019. da bi dobavljači tehnologije pametnih gradova mogli biti pod pritiskom da eksfiltriraju podatke iz obavještajnih službi u svojim zemljama.
Vijeće okruga Bournemouth odustalo je od planova za projekt pametnog grada sa kineskim dobavljačem Alibaba nakon vladine intervencije, dok je Milton Keynes otkazao projekt pametnog grada sa Huaweijem, objavio je Financial Times.
 
Rizik zavisnosti
Prema izvještaju, tri kineske kompanije imaju više od polovine međunarodnog tržišta, uključujući veliko kinesko domaće tržište, za mobilne IoT module.
Budući da Kina smatra internet stvari strateškom tehnologijom, ove kompanije imaju koristi od pristupa subvencijama, preferencijalnih cijena i domaćeg tržišta koje isključuje međunarodnu konkurenciju.
Ako kineske kompanije nastave povećavati udio na globalnom tržištu i nadmašiti strane konkurente, druge kompanije će postati ovisne o Kini za mobilne IoT module.
"S obzirom na ogromnu važnost ovih modula za modernu industriju i život, to bi druge zemlje učinilo vrlo ranjivim na prijetnju uskraćivanja isporuke", navodi se u izvještaju koji je objavila konsultantska kuća OODA sa sjedištem u Washingtonu.
Zemlje trebaju poduzeti akciju
Parton tvrdi da zapadne zemlje moraju poduzeti mjere kako bi očuvale svoje IoT proizvođače pred kineskom konkurencijom, budući da su već poduzele mjere u vezi sa 5G i poluprovodnicima.
 
„Što je duže kašnjenje u ograničavanju kineskih ćelijskih IoT modula, to postaje teže i skuplje zamijeniti ih. Prozor mogućnosti se zatvara, ali je i dalje otvoren”, kaže on.