Decyzja Federalnej Komisjo Łączności (FCC) o wpisaniu routerów klasy konsumenckiej wyprodukowanych poza Stanami Zjednoczonymi na listę urządzeń uznanych za niewystarczająco bezpieczne do użytku wywołała sporo dyskusji i poruszenie w branży technologicznej.
Zakaz wynika z obaw, że routery stały się łatwym punktem dostępu dla cyberprzestępców, co rodzi obawy dotyczące bezpieczeństwa narodowego. A zdaniem wielu ekspertów to ruch, który może na lata zmienić sposób myślenia o bezpieczeństwie infrastruktury cyfrowej – także w Europie i Polsce.
Zakaz obejmuje praktycznie wszystkie nowe urządzenia, w których jakikolwiek etap produkcji – od projektowania po montaż – odbywa się poza Stanami Zjednoczonymi. W praktyce oznacza to, że niemal każdy router dostępny dziś na rynku amerykańskim podlega nowym ograniczeniom. FCC uznała, że urządzenia te mogą stanowić „niedopuszczalne ryzyko” dla bezpieczeństwa narodowego.
– Decyzja FCC odzwierciedla szerszy problem, który branża obserwuje od lat – routery i urządzenia brzegowe stały się jednym z najbardziej atrakcyjnych i jednocześnie najsłabiej monitorowanych punktów wejścia dla cyberataków – mówi Sergey Shykevich z firmy Check Point Software Technologies. – To nie jest kwestia jednego kraju czy producenta. Chodzi o ograniczenie ryzyka systemowego i poprawę standardów bezpieczeństwa w całym łańcuchu dostaw – dodaje ekspert.
Choć regulacja nie obejmuje modeli już dopuszczonych do sprzedaży, jej skutki są dalekosiężne. Firmy mogą nadal sprzedawać istniejące urządzenia, ale nie mogą wprowadzać nowych bez uzyskania specjalnej zgody. W efekcie – jak podkreślają analitycy – rynek został de facto „zamrożony”, a producenci próbują dostosować swoje łańcuchy dostaw do nowych wymogów.
Decyzja FCC obnażyła skalę globalizacji produkcji sprzętu sieciowego. Nawet firmy uznawane za amerykańskie, jak Netgear, produkują swoje urządzenia w Azji – m.in. w Wietnamie, Tajlandii czy na Tajwanie. Wyjątkiem jest Starlink, który według deklaracji produkuje swoje najnowsze routery w Teksasie. To pokazuje, jak trudne – a być może nierealne – jest całkowite „uniezależnienie” się od globalnych łańcuchów dostaw w branży technologicznej.
Tymczasem routery oraz inne rozwiązania typu smart home często są dziś pomijane w kontekście ochrony danych.
– Amerykański zakaz dotyczący zagranicznych routerów pokazuje, jak istotnym elementem polityki bezpieczeństwa stały się suwerenność cyfrowa i autonomia technologiczna. Decyzja ta potwierdza również rosnącą świadomość, że urządzenia, z których korzystamy na co dzień, stanowią dziś pierwszą linię frontu w walce z cyberzagrożeniami. Użytkownicy zapominają o konieczności ich regularnej aktualizacji, co jest o tyle ryzykowne, że urządzenia te są bezpośrednio dostępne z internetu. To czyni je atrakcyjnym celem zarówno dla pospolitych cyberprzestępców, jak i grup działających na zlecenie obcych państw – ocenia Kamil Sadkowski, analityk cyberzagrożeń w ESET.
Ekspert podkreśla przy tym, że skupienie się wyłącznie na kraju pochodzenia sprzętu to spore uproszczenie.
– Podatności w zabezpieczeniach nie wynikają jedynie z miejsca produkcji. Często są one efektem słabego oprogramowania układowego czy po prostu niskiej świadomości użytkowników. Ostateczna odporność na ataki zależy od egzekwowania rygorystycznych standardów bezpieczeństwa we wszystkich urządzeniach podłączonych do sieci, niezależnie od ich pochodzenia. Kluczowe jest, aby wymogi te stały się integralną częścią budowania zaufania do łańcucha dostaw. Musimy przestać traktować sprzęt sieciowy jako element, który wystarczy kupić, zainstalować i o nim zapomnieć – mówi Kamil Sadkowski.
Choć decyzja dotyczy rynku amerykańskiego, jej konsekwencje mogą być globalne. Europa – podobnie jak USA – coraz większą wagę przywiązuje do bezpieczeństwa infrastruktury cyfrowej i kontroli nad łańcuchami dostaw. W Polsce rząd podjął szereg działań zmierzających do ograniczenia lub wyeliminowania sprzętu IT chińskich firm z infrastruktury krytycznej oraz zamówień publicznych, argumentując to względami bezpieczeństwa narodowego. W Unii, TSUE podjął w 2022 r. uchwały z których wynika, że wykonawcy z państw trzecich nie mogą ubiegać się o dostęp do zamówień publicznych na wspólnym rynku na takich samych zasadach, jak wykonawcy z Unii Europejskiej, a także państwa będące stroną umowy GPA (takie jak Liechtenstein, Norwegia, Kanada, Tajwan, USA, Islandia, Singapur oraz Izrael).
– Kolejne wydarzenia dowodzą, jak bardzo nieprzewidywalna jest sytuacja geopolityczna. To powinno jeszcze mocniej skłaniać kraje europejskie do wzmacniania odporności cyfrowej w oparciu o samodzielnie wytwarzane technologie bezpieczeństwa. Zasoby prywatne i sieci firmowe można kompleksowo zabezpieczyć wykorzystując europejskie produkty i technologie, na każdym etapie od routera i firewalla aż po specjalistyczne systemy monitorujące i blokujące podejrzany ruch sieciowy – uważa Paweł Śmigielski, menadżer Stormshield.
Największe kontrowersje budzi jednak nie sam zakaz, lecz jego konsekwencje dla użytkowników. Zgodnie z komunikatem FCC producenci będą mogli dostarczać aktualizacje oprogramowania „co najmniej do 1 marca 2027 r.”. Po tym terminie wiele urządzeń może zostać pozbawionych wsparcia bezpieczeństwa. To rodzi poważne pytania o sens regulacji. Routery – kluczowe elementy domowych i firmowych sieci – bez regularnych aktualizacji stają się łatwym celem dla cyberprzestępców. Eksperci ostrzegają, że decyzja, która miała zwiększyć bezpieczeństwo, może paradoksalnie je osłabić.
– Jeśli ograniczamy dostęp do aktualizacji bezpieczeństwa, to w rzeczywistości pogarszamy sytuację, a nie ją poprawiamy – wskazują przedstawiciele organizacji zajmujących się ochroną prywatności. W tej sytuacji analitycy rynku rekomendują ostrożność. Zakup nowego routera dziś może oznaczać, że za rok urządzenie nie będzie już otrzymywać poprawek bezpieczeństwa. Sytuacja jest tym bardziej skomplikowana, że wciąż nie wiadomo, które firmy otrzymają wyjątki od zakazu. Więcej szczegółów ma pojawić się w najbliższych miesiącach.
Piotr Zielaskiewicz z Dagma Bezpieczeństwo IT wskazuje, że amerykański zakaz powinien skłaniać polskie firmy do szukania lokalnych rozwiązań w obszarze cyberbezpieczeństwa.
– Inwestowanie w lokalne rozwiązania nie tylko podnosi poziom bezpieczeństwa, lecz także wzmacnia naszą niezależność w obszarze technologii informacyjnych. Europejskie przedsiębiorstwa technologiczne odgrywają kluczową rolę w zapewnieniu suwerenności cyfrowej kontynentu. W wielu przypadkach kojarzone są z innowacyjnymi technologiami i wysoką skutecznością. W oparciu o rozwiązania tworzone we Francji, Finlandii, Danii, Rumunii, Czechach, Niemczech, Słowacji, Szwecji można zbudować kompleksowy system bezpieczeństwa każdej organizacji lub korzystać z nich jako osoba prywatna. Także polskie firmy odgrywają istotną rolę w kształtowaniu rynku cyberbezpieczeństwa, dostarczając innowacyjne, niezawodne narzędzia i usługi – mówi Piotr Zielaskiewicz.
