MARAD попереджає американців, що китайське обладнання посилює небезпеку кібератак

Морська адміністрація США (MARAD) опублікувала офіційне попередження про потенційні властивості обладнання, операційних систем та інших високотехнологічних продуктів з Китаю. За словами експертів, особливо великі ризики зараз існують для американських морських портів, оскільки використання китайських розробок створює додаткові загрози кібератак на інфраструктуру. 

Протягом останніх кількох років уряд США підкреслював ризики, пов’язані з інтеграцією та використанням інформаційних платформ та інших розробок для логістики та транспорту, які підтримує уряд КНР. Йдеться також про сканери Nuctech, виготовлені у Китаї, автоматизовані системи доставки і навіть берегові портові крани. 

Днями у Білому домі заявили, що планують видати розпорядження, спрямоване на посилення безпеки національних портів, а також вжити низку заходів для посилення кібербезпеки у ланцюга постачання. 

LOGINK, платформа управління логістикою, розроблена Міністерством транспорту Китаю, збирає логістичні дані з різних джерел, включаючи внутрішні та іноземні порти, логістичні мережі, вантажовідправників і транспортні компанії. Використання LOGINK у критичній портовій інфраструктурі по всьому світу, включно з портами США, може дозволити Китаю отримувати доступ і збирати конфіденційні логістичні дані на глобальному рівні, відзначають експерти.

Обладнання, виготовлене у Nuctech Company, Ltd. – компанії, яка знаходиться під повним контролем китайського уряду – має доступ до конфіденційної інформації, такої як біометричні дані, особиста ідентифікаційна інформація, дані про вантаж, конфіденційні дані та геолокаційні метадані. Тому США додали Nuctech до чорного списку організацій.

Shanghai Zhenhua Heavy Industries Company Limited, або ZPMC, займає найбільшу частку світового ринку кранів типу «судно-берег», у тому числі в портах США. Цими кранами, залежно від конфігурації, можна дистанційно керувати, обслуговувати та програмувати, що робить їх потенційно вразливими під час експлуатації.

Щоб зменшити ризики, пов’язані з автоматизованими портовими кранами, консультація пропонує декілька заходів, зокрема поліпшення сегментації між краном та іншими системами, використання інструментів безпечної передачі файлів, застосування багатофакторної автентифікації, відокремлення функцій управління від операційних систем, моніторинг усіх комунікацій, вимога фізичного відвідування для отримання оновлень від постачальників, виконання періодичних перевірок цілісності, підтримка надійних програм реагування та відновлення, а також забезпечення надійної фізичної безпеки та контролю доступу.