A magyarországi kritikus infrastruktúrák Kínának való kitettségét vizsgálja egy nemrégiben publikált jelentés. Kockázatosnak tekinthető függés több területen is megjelenik. A kormánnyal szemben a szakértők igyekeznek kerülni a kínai eszközök beszerzését. Orosz hekkerek viszont azt is bebizonyították, hogy akár egy kínai robotporszívó is eszköz lehet a háborúban.
Magyarországon kritikus infrastruktúrának számít az energiaszolgáltatás, a közlekedés, az ivóvízellátás, az egészségügyi, a pénzügyi szolgáltatások, valamint a digitális infrastruktúra. A kritikus infrastruktúra működésében bekövetkező zavarok nemcsak komoly gazdasági károkat okozhatnak, de akár emberi életeket is veszélyeztethetnek. Ráadásul e rendszerek működtetésében egyre inkább nélkülözhetetlenek a kommunikációs és számítógépes hálózatok, tehát a kritikus digitális infrastruktúra biztonsága is kiemelten fontos. Ezért vizsgálta egy nemrégiben publikált kutatás Kína szerepét Magyarország kritikus infrastruktúrájában (a tanulmányt a Central and Eastern European Center for Asian Studies jelentette meg, a szerző Lendvai Tünde és Tóth András, a Nemzeti Közszolgálati Egyetem kutatója).
Azt a szerzők is elismerik, hogy csak korlátozottan tudták vizsgálni a kitettség mértékét. Az egészségügyben például az adatok jelentős része érzékenynek számít, így ott nem is mérhető, a Budapest–Belgrád-vasútvonallal kapcsolatos szerződéseket pedig – Kína kérésére – a magyar kormány tíz évre titkosította. Az elemzésnél ezért elsősorban nyilvánosan elérhető információkra és szakértői interjúkra támaszkodtak.
De így sem tanulság nélküli a kutatás. Noha a magyar kormány megbízik a kínai beszállítókban (az egyre fontosabbá váló 5G-hálózatot például a sok országból kitiltott Huawei építi ki), a közbeszerzésekről és a vállalati bevásárlásokról döntő szereplők azért igyekeznek kerülni a kínai hátterű eszközöket. Ám Kína bizonyos területeken megkerülhetetlen, és a biztonsági hiányosságokat hekkerek is kihasználhatják, például ahogy az oroszok tették Ukrajna ellen.
Pénzügyi területen az egyetlen kínai szereplő a Bank of China, de ez nem jelent komoly kitettséget, mert egyáltalán nem számít jelentősnek a piacon. Az egészségügyi szektor érintettsége pedig, ahogy fentebb írtuk – az adatok érzékenysége miatt – egyáltalán nem mérhető.
A könnyen feltörhető eszközök komoly kockázata
Az energiaszektor függőségét is alacsonyra értékelték, de itt már vannak olyan hálózati eszközök, ahol nehézkes megkerülni a kínai beszállítókat. Ennek ellenére sem alakult ki kritikus függőség Kína irányába. Tóth András ugyanakkor egy másik kockázatra is felhívta a figyelmet, amely potenciálisan a teljes magyar energiahálózatra komoly hatással lehet. Nagyon elterjedtek ugyanis Magyarországon a Huawei által gyártott lakossági napelemek, inverterek, egyre többen használják. Az eddigi tapasztalatok alapján azonban ezek az eszközök nem elég biztonságosak. „A hasonló eszközöknél is sok nulladik napi sérülékenységre derült fény az utóbbi időben. Az egész energiahálózatban komoly problémát okozhat, ha valaki megszerzi az irányítást az eszközök felett, és mondjuk egy perc alatt többször fel-le kapcsolja. Az inverterek ugyanis rá vannak kötve az elektromos hálózatra, ami így rövid időn belül kap hirtelen nagy terhelést, aztán ez megszűnik, aztán megint érkezik a terhelés, és így tovább. Ez pedig akár az egész magyar elektromos hálózatot veszélyeztetheti” – magyarázta Tóth a Szabad Európának.
Tóth András egy másik fajta kockázatra is felhívta a figyelmet. Mielőtt Oroszország megindította volna Ukrajna elleni offenzíváját, több ukrán kormányzati, illetve ipari vállalat hálózata ellen indított túlterheléses (ddos) támadást, amely az érintett hálózatok teljes lebénítását célozta. A támadásokról szóló ukrajnai jelentésekből kiderült, hogy ötven, magyarországi IP-címmel rendelkező eszköz is részt vett bennük, ezek közül pedig legalább 46 volt a kínai Xiaomi gyártmánya. „Ezek ipari irányítóeszközök vagy akár otthoni, internetre kötött okoseszközök (IoT) is lehettek. Robotporszívó, beépített kamera, babafigyelő is felhasználható egy ilyen támadáshoz.” Tóth elmondása szerint a támadók az úgynevezett nulladik napi sérülékenységet használtak ki. Ezek olyan hibák, amelyekről a gyártók és az üzemeltetők sem tudnak, ha azonban egy hekker felfedezi, hozzáfér az eszközön átfutó adatokhoz, akár az irányítást is át tudja venni felettük. „Az ilyen, internetre kötött okoseszközöknél kezdetben semmilyen biztonsági előírás nem létezett, nem volt kötelező a titkosítás. Most már Amerikában és az EU-ban is vannak biztonsági előírások, de ezeket a kínai gyártóknak nem kötelező betartaniuk” – magyarázta Tóth, miért lehet sérülékenyebb egy kínai gyártmányú eszköz még akkor is, ha nincs is szándékosan beleépítve valamilyen hátsó kapu.
Vasúton, reptéren
A közlekedési infrastruktúra területén két komoly, a nyilvánosságban kisebb figyelmet kapó, nagyobb projekt is megvalósult Magyarországon, amely kínai technológiától, illetve tőkétől függ. Az egyik a magyar–szlovák–ukrán hármas határ melletti Fényeslitkén idén elkészült East-West Gate terminál. Fényeslitke nemcsak a hármas határ és az EU külső, így vámhatára miatt van fontos helyen logisztikai szempontból (így tehát vámudvar is), hanem azért is, mert itt ér véget az Európa nyugati felén használt keskeny nyomtávú vasút, és kezdődik a volt szovjet térségben használatos széles nyomtáv. Az átmenő vasúti forgalomnak itt tehát meg kell állnia, és a vagonokat át kell pakolni. Ez egy harmincmilliárd forint értékű beruházás, az egyik legnagyobb és legmodernebb ilyen létesítmény Európában, és magánberuházásban épül. A fő tulajdonos az orosz–magyar kettős állampolgár Rahimkulov Ruszlan, az egyik leggazdagabb magyar.
Az East-West Gate terminálon a daruk egy teljesen automatizált rendszerben, távolról vezérelve is képesek elvégezni a munkát, részben az ott kiépített ipari 5G-magánhálózat segítségével. Ezt a hálózatot a Huawei és a Vodafone építette ki. A háború után kiemelten fontos lehet a fényeslitkei terminál szerepe, de hosszabb távon új lehetőséget nyit, többek között a Kína és Európa közötti új selyemútprojekt forgalmának lebonyolítására is.
Tavaly adták át a ferihegyi reptéren a Zhengzhou Exkluzív Tengerentúli Terminál nevű raktárcsarnokot, amely a Kínából érkező légi szállítmányok logisztikai központja. A Budapest Airport partnere a kínai Henan Airport Group (a Csengcsou Nemzetközi Repülőtér üzemeltetője). Itt ráadásul további logisztikai központok létesítése is tervben van, a beruházók szerint „a projekt új szintre emeli a két ország együttműködését, tovább fejlesztve az import-export kereskedelmet, lehetővé téve, hogy a két repülőtér a kínai és a teljes kelet-közép-európai térség kiemelkedő légicargo-kapujává lépjen elő”.
Tóth András szerint a fő kockázat az, hogy a fényeslitkei és a ferihegyi logisztikai központ is olyan kínai eszközöket alkalmaz, amelyekről nem tudjuk, milyen kiberbiztonsági kockázatot rejtenek, ki fér hozzá az ott összegyűlt adatokhoz, milyen szervereken tárolják a mentett adatokat.
Amúgy mind a reptéri, mind a vasúti beruházás kapott magyar állami támogatást.
A közlekedésben a legnagyobb projekt persze a Budapest–Belgrád-vasútvonal fejlesztése, de ennek részletei titkosak. Azt lehet tudni, hogy a Huawei alvállalkozóként részt vesz a megvalósításában, így a hálózati eszközöknél felmerül a kínai kitettség. Mivel a projekt nagyrészt kínai hitelből valósul meg, a pénzügyi kitettség mindenképp fennáll. A fejlesztés 2,078 milliárd dolláros költségének (ez mostani árfolyamon mintegy 840 milliárd forint) 15 százalékát állja a magyar költségvetés, a maradék 85 százalék kínai hitel. A titkosítás miatt a részletei nem ismertek, de Montenegró példája azt mutatja, hogy ez a pénzügyi kockázat nagyon is valós.
Digitális hálózatok: magas kínai függőség
A digitális infrastruktúra esetében azonban magas szintű kínai függőség áll fenn a kutatás szerint. A kínai eszközök és szolgáltatók ugyan nincsenek kizárva a kormányzati infrastruktúrát működtető NISZ közbeszerzéseiből, de a cégnél saját hatáskörben igyekeznek kerülni a kínai hátterű termékek beszerzését. Hasonlóan nyilatkoztak egyébként a magánszférában dolgozó szakértők is. Ahol azonban megkerülhetetlenek a kínai beszállítók, azok a jelenleg is működő LTE- és épülő 5G-hálózatok. Itt kifejezetten magas a Kínától való függés, ugyanis a Huawei is részt vesz a rendszer kiépítésében.
Néhány évvel ezelőtt előbb az Egyesült Államok, majd az Európai Unió is biztonsági kockázatként értékelte a kínai eszközök beszerzését (elsősorban a hálózatok, különösen az 5G kiépítésénél). A kínai nemzeti hírszerzési törvény szerint például a kínai cégeknek segíteniük kell a hatóságokat a hírszerzési munkájukban, akár az Európai Unióban is. Mivel ezek a nagyvállalatok nem tudnak a kínai államtól függetlenül működni, kérdéses, mennyire tudnak ellenállni a fentről érkező kéréseknek. A kínai hátterű cégek ráadásul nem feltétlenül európai szervereken tárolják az adataikat, így nemcsak a szigorú európai adatvédelmi szabályok (GDPR) betartására nincs garancia, de azt sem tudni, ki férhet hozzá az ott tárolt adatokhoz. Szakmai körökben erős a vélelem arra vonatkozóan is, hogy a kínai gyártók eleve beépítenek olyan hátsó kapukat, amelyeket kihasználva be tudnak jutni azokba a hálózatokba, amelyekben be vannak építve az eszközök, akár át is tudják venni felettük az irányítást. Ezeket az aggályokat pedig sem a Huawei, sem más kínai gyártó nem tudta hitelt érdemlően cáfolni.
Magyarország azonban nem tartja kockázatosnak a kínai cégeket, ráadásul az elmúlt években nyolc kínai nagyvállalattal kötött stratégiai megállapodást, köztük a többször is kémkedéssel vádolt Huaweijel. A kínai techóriás nemcsak a magyarországi 5G-rendszer kiépítésében vesz részt, de egy budapesti fejlesztési központ létesítését is bejelentette, ahol az 5G-fejlesztések mellett képfeldolgozásra és mesterséges intelligenciára fókuszálnának. Ez azért is jelent kockázatot, mert pár éven belül az 5G nélkülözhetetlen alapinfrastruktúrává fog válni.
Magyarországon nincs arra szabály, hogy akár a közbeszerzéseknél, akár a magánszféra vásárlásainál ki kellene zárni a kínai beszállítókat. A hivatalos magyar hozzáállás fényében azonban nagyon érdekes volt, hogy a kutatóknak nyilatkozó érintettek saját területükön igyekeznek kerülni a kínai cégek által gyártott hálózati eszközök beszerzését. Ez nem csak a magáncégekre igaz, erről beszéltek az állami beszerzéseket intéző illetékesek is. Kivételt a laptopok és a mobiltelefonok jelentenek, de ezek kockázata alacsony a kutatók szerint, mert az ilyen eszközöket könnyen és gyorsan le lehet cserélni, ha kiderül, hogy valami probléma van velük. Vannak olyan részlegek a digitális infrastruktúra területén, ahol egyszerűen nem lehet kikerülni a kínai gyártmányokat.
5G-hálózatot kétféleképp lehet kiépíteni: vagy a már meglévő infrastruktúrára lehet ráépíteni, vagy pedig teljesen új hálózatot kell létrehozni. A meglévő hálózatokra építeni értelemszerűen gyorsabb és olcsóbb, így a legtöbb ország ezt preferálja. Mivel a két hálózatnak együtt kell működnie, ha a régebbi hálózaton már létezik függőség vagy sérülékenység, az jelen lesz az új hálózatban is. Magyarországon pedig már a 4G esetében is kialakult bizonyos szintű kínai függőség. Ráadásul az 5G-hálózat bizonyos elemeit jelenleg csak három gyártó képes leszállítani: a kínai Huawei, a szintén kínai ZTE, illetve a dél-koreai Samsung. „Ez azt jelenti, hogy azokban az országokban, ahol kizárták a kínai beszállítókat, ott monopolhelyzetben van a Samsung az 5G területén. De a Nokia, az Ericsson és a NEC is zárkózik fel. Hamarosan nem lesz probléma a kínai gyártás kiváltása” – mondja Tóth András.
Ma még azonban nehezen lehet kikerülni Kínát, és ezen a ponton nagyon bonyolult és drága lenne kiváltani a hálózatokba már beépített eszközöket.
További probléma, hogy sok nem kínai tulajdonú cég is Kínában gyártat bizonyos eszközöket. „A Kínában zajló csipgyártás több kockázatot is magában hordoz. Egyrészt minden gyártónak meg kell osztania adatokat, akár bizalmas információkat is az alvállalkozókkal. Semmit nem tudni arról, hogy a kínai fél hogyan kezeli, kivel osztja meg a neki megküldött adatokat. A másik probléma, hogy előfordulhat, hogy a megrendelő tudta nélkül szoftveres vagy hardveres hátsó kapukat építenek be az eszközökbe. Ezek később arra szolgálnak, hogy hozzá tudjanak férni az eszközökön átfutó információkhoz. Erre van bizonyíték, találtak már olyan pluszhardvert vagy -szoftvert, amely ezzel a hátsó kapus megoldással alkalmas volt adatok megszerzésére” – magyarázta Tóth. A Bloomberg szerint az egyik esteben mintegy harminc amerikai nagyvállalat eszközeiben találtak extra kémcsipet, és olyan óriásvállalatok is érintettek lehettek, mint az Apple vagy az Amazon.
A jelentés szerint az így kialakuló függés, különösen ha a forgalmazó nagy kockázatúnak minősül, növeli annak az esélyét, hogy a szolgáltatás leáll. A kockázat „megjelenhet például a beszállítók által elősegített támadások esetében”. Hozzáteszik, hogy az 5G esetében jelentős az ilyen kitettség. „Itt különösen nagy problémát jelent annak a valószínűsége, hogy a beszállítót nem EU-tagországból érheti valamilyen külső (esetleg állami) beavatkozás.”
Az európai gyártók fejlesztéseinek felgyorsítása és a biztonsági mechanizmusok kialakítása viszont egyre sürgetőbb lenne, mert az EU előírása szerint 2030-ig minden tagállamnak el kell érnie az országos lefedettséget. A jövőben az ipar, a logisztika, a legkülönbözőbb szolgáltatások, a városi élet (okosvárosok), de a lakosság számára is nélkülözhetetlen lesz a kis területen sok eszközt nagy adatátviteli sebességgel kiszolgálni képes 5G-mobilhálózat – amelyet ezért önmagában is kritikus infrastruktúraként kell majd kezelni.
Cikkünk megjelenése után a Huawei és az East-West Gate is megkereste lapunkat. Mindkét cég nevében ugyanattól a kommunikációs cégtől jött az e-mail.
A Huawei közölte, hogy az eszközeik, így sem az általuk kiépített hálózatok, sem az interverek nem jelentenek biztonsági kockázatot.
„Semmilyen olyan bizonyítékot nem mutatott be soha senki, ami arra utalna, hogy a Huawei eszközeibe bármilyen hátsó kaput építettek volna” – teszik hozzá. Azt írják, a cég 5G-eszközei „a legfrissebb 5G telekommunikációs szabványok szerint készülnek, és magas szintű kiberbiztonsági ellenőrzésekkel és tanúsítványokkal rendelkeznek. A Huawei az egyetlen olyan szolgáltató a világon, amely forráskódszinten enged betekintést a termékeibe, a vállalat brüsszeli Kiberbiztonsági Átláthatósági Központjában bárkinek van erre lehetősége.”
Azt írják, nem tárolnak adatokat a fényeslitkei terminállal kapcsolatban.
„Az összes, Európában keletkezett adatot az adott ország előírásai és az Európai Unió adatvédelmi rendeletének, a GDPR-nak megfelelően tárolja” a Huawei a cég saját állítása szerint.
A cég igyekezett hangsúlyozni, hogy a „Huawei egy magántulajdonban lévő vállalat, amely a kínai államtól függetlenül működik”.
