Американские телекоммуникационные компании очень тщательно следят за иностранными производителями оборудования и компонентов, Правительство США считает, что этого недостаточно для обеспечения безопасности передачи данных.
Постоянный мониторинг цепи поставок оборудования телекоммуникационными компаниями США обеспечили совместимость оборудования иностранного производства на внутренней сети, теперь же, дополнительно, правительство США изучает возможности по созданию стандартов для местных компаний, чтобы сосредоточить их усилия в обеспечении безопасности управления цепи поставок. Другие страны также имеют опыт более строгих подходов к этому вопросу, реализация этих подходов в США может быть крайне контрпродуктивной.
Беспокойства, что коммерческие цепи поставок телекоммуникационных компаний являются уязвимыми к нарушениям безопасности передачи данных, особенно компоненты произведенные в зарубежных странах, усилились в последние несколько лет. Глобальный телекоммуникационные компании в значительной степени борются с этой проблемой, вводя собственные меры контроля качества и безопасности, основанные на национальных принципах, если таковые имеются, или на согласованных стандартах предлагаемых отечественными поставщиками. В отсутствие строгих национальных стандартов и практик, компании принимают и разрабатывают собственные способы для обеспечения требуемого уровня безопасности.
Эта позиция была изложена на обсуждении в Конгрессе Марком Гольдштейн, директором по вопросам физической инфраструктуры для государственного контрольного управления (GAO). Основные его идеи были, что телекоммуниационные компании зачастую опускают Отчеты GAO, размещая заказы на поставку телекоммуникационного сетевого оборудования в более чем 100 зарубежных странах.
Согласно докладу, американские компании выбирают поставщиков телекоммуникационного оборудования исходя из факторов безопасности и надежности. Некоторые телекоммуникационные компании разрабатывают профили рисков для поставщиков критических компонентов. Оборудование, предназначенное для базовых сетей, закупается только у самых надежных поставщиков, компании говорят, что во многих случаях, требования и стандарты безопасности являются пунктами контрактов.
В докладе отмечается, что федеральные чиновники США уже предупредили двух провайдеров американской сети о запрете работы с определенными поставщиками по соображениям национальной безопасности. Даже если некоторые страны представляют риски для безопасности США, поставщики из этих стран автоматически не дисквалифицируются из списка поставщиков частных компаний, говорится в докладе.
Правительство США начало работу над анализом рисков в цепях поставок телекоммуникационных компаний США. Специальное Распоряжение, выпущенное в феврале, призывающее Национальный институт стандартов и технологий к разработке основ для снижения критических рисков кибер-инфраструктуры, в т.ч. для взаимодействия с цепями поставок компаний. Чиновники Департамента Национальной Безопасности сказали, что пока не определились со степенью вмешивания в цепи поставок телекоммуникационных компаний, отмечается в докладе. Но игроки сходятся во мнении, что подобные усилия могут являться угрозой для Supply Chain телекоммуникационных компаний США.
В докладе отмечается, что индийское и британское правительства уже имеют нормативные меры для обеспечения безопасности в цепях поставок, а австралийское правительство рассматривает возможность контроля поставщиков через оценку риска каждого. В Индии телекоммуникационные провайдеры полностью несут ответственность за безопасность своих сетей, в том числе за работу своей цепи поставок, как части лицензии для операционной деятельности. Австралийское предложение потребует от поставщиков услуг нести полную ответственность за информационную безопасность своих сетей и сооружений от несанкционированного доступа или вмешательства. Правительство обеспечит Стандарты для надзора и контроля, и оно будет иметь право на реализацию контрольных мер для обеспечения соблюдения правил игры.
Доклад GAO, однако, предупреждает, что принятие более строгих подходов в США может иметь пагубные последствия для сектора телекоммуникаций. Торговые барьеры, дополнительные расходы и ограничения конкуренции — всего лишь некоторые из потенциальных последствий, которые могут возникнуть в ходе выполнения задач обеспечения цепями поставок частных компаний безопасности телекоммуникационных сетей. Агентства США должны будут принять во внимание все потенциальные сценарии, прежде чем сделать выбор в сторону конкретных мер.
Комментарии
Как считаете, в каких еще отраслях возможен подобный подход к обеспечению работы цепей поставок? Каким образом обстоят дела в РФ и СНГ в работе телекоммуникационных операторов фиксированной и мобильной связи? Применяются ли аналогичные подходы?
