«Если TikTok угроза, то все вокруг
тоже угроза»

Прошедшим летом американское правительство объявило, что рассматривает возможность запрета китайских приложений, в том числе популярного сервиса TikTok. В августе президент Трамп подписал два приказа о блокировании транзакций с компаниями ByteDance (материнской компанией для TikTok) и TenCent (владелицей популярного сервиса для обмена сообщениями и торговой площадки WeChat) и еще один приказ, обязывающий ByteDance в течение 90 дней продать или передать другим акционерам все активы американской версии TikTok и уничтожить все экземпляры данных, относящихся к американским пользователям TikTok. Несколько компаний, в том числе Microsoft, Walmart и Oracle, сообщили, что заинтересованы в покупке приложения. В то же время компания TikTok подала в суд на американское правительство, обвинив администрацию Трампа в нарушении надлежащей правовой процедуры.

Цель предложенного запрета, по словам администрации Трампа, — защитить частную жизнь американских граждан и данные о них — и правительственных чиновниках — от китайского правительства. В приказе Трампа от 6 августа говорится, что TikTok мог «дать Китаю возможность отслеживать местонахождение государственных служащих и подрядчиков, составлять досье с личной информацией с целью шантажа и осуществлять корпоративный шпионаж». Однако правда ли, что TikTok — это угроза? И если да, то каковы возможные последствия этих действий для США?

Мы как исследователи, изучавшие подобные запреты на высокотехнологичные продукты, полагаем, что эта цепь событий может привести к серьезнейшим последствиям для бизнес-сообщества, которые, вероятно, затронут не только высокотехнологичный сектор.

Что за угроза?

Если сбор данных компанией, у которой есть международные связи, — угроза, то тогда все вокруг — угроза. Данные, собираемые TikTok, бледнеют по сравнению с данными, собираемыми явно и неочевидным образом, скажем, большинством американских высокотехнологичных компаний (а также банками, кредитным организациями, отелями). Многие учреждения, собирающие конфиденциальную информацию, уже подвергались кибервзломам. Приблизительно каждые 39 секунд в мире происходит хакерская атака, и большинство информации, полученной таким образом, продается в даркнете. Если бы китайское правительство хотело получить информацию, которая была у TikTok, оно могло бы добыть ее множеством других способов.

Более серьезной угрозой для американских потребителей станет нечто менее высокотехнологичное: ситуация, вызванная созданием прецедента запрета повседневных технологий, может быстро выйти из-под контроля и серьезно навредить почти всей международной торговле.

Нарастающая тенденция

Случай с TikTok пока может казаться новостью, но на самом деле это только новейший громкий инцидент в целой череде случаев запрета товаров или услуг отдельными странами под предлогом обеспокоенности киберугрозами. В ходе нашего исследования мы изучили более 75 таких событий с участием более 31 страны, имевших место в течение почти 20 лет, хотя большая часть из них произошла в последние пять лет. Например, в 2017 году Германия запретила американскую говорящую куклу «My Friend Carly», так как разговоры с ней обрабатывались серверами в США. В 2016 году Россия заблокировала доступ к LinkedIn, заявив, что эта платформа отказалась хранить личные данные российских пользователей в России. В 2017 году США заблокировали российского производителя антивируса «Лаборатория Касперского» из-за его предположительных связей с российским правительством.

Эти случаи подкрепляют тенденцию к громким запретам, в рамках которой, например, Китай заблокировал Facebook, Twitter и Google (2009 год), а BlackBerry запретили или угрожали запретить в Индии, Пакистане, Саудовской Аравии и Объединенных Арабских Эмиратах (2010 год).

Так как любой продукт, содержащий в себе компьютер, или любая услуга, подразумевающая использование интернета, — то есть в наши дни фактически любой товар и любая услуга — могут оказаться угрозой для кибербезопасности, такие события происходят все чаще и приводят к все более серьезным последствиям. (Кстати, в электронной зубной щетке одного из авторов этой статьи есть компьютер, подключенный к интернету.) Изучать миллионы строк программного обеспечения или программно-аппаратных средств сейчас немыслимо, поэтому решения принимаются на основании приблизительной оценки риска, на которую могут влиять такие факторы, как доверие и способность справиться с угрозами для кибербезопасности. Ограничения накладываются на широкий спектр товаров и услуг: медицинское оборудование, платформы для видеосвязи, защитное программное обеспечение, социальные сети, камеры видеонаблюдения, банковские ИТ-системы, дроны, умные игрушки, онлайновые службы по созданию контента, спутниковые коммуникации, программное обеспечение для ИИ, финансовые службы, такие как системы для международных денежных переводов и платежей.

Согласно «Индексу ограничения торговли услугами» от Организации экономического сотрудничества и развития, 13 из 46 крупнейших экономик ужесточили ограничения, наложенные ими на цифровую торговлю, в период с 2014 по 2019 год, и только четыре страны ослабили их.

В целом, есть четыре стратегии управления рисками: принять, избегать, смягчать, передать. Есть много практических возможностей, которые страны могут использовать, чтобы управлять рисками для кибербезопасности, создаваемыми международными товарами и услугами. К сожалению, запрет товаров становится все более распространенным, но эта стратегия не кажется особенно надежной.

Почему в этот раз все по-другому 

Предложенный запрет китайских приложений подтверждает распространяющееся по миру мнение, что США — больше не ведущий гарант развития международного бизнеса, а потенциальная угроза ему. Эта точка зрения существенно влияет на мировую экономику и угрожает американским компаниям. И у TikTok, и у WeChat огромные аудитории (800 млн и почти 1,2 млрд, соответственно). Удаление WeChat из App Store может привести к спаду продаж iPhone примерно на 30%, по мнению одного видного аналитика. Во время августовских переговоров с чиновниками из Белого дома более десятка крупнейших американских многонациональных компаний выразили опасение, что запрет WeChat может подорвать их конкурентоспособность на китайском рынке.

Вторичные издержки саботажа международной бизнес-среды посредством такой политики могут быть гораздо существеннее: 86% компаний из бизнес-совета США-КНР сообщили о негативном влиянии происходящего на их бизнес в Китае. Самым серьезным последствием оказалась потеря продаж из-за того, что потребители переходят на других поставщиков и источники снабжения из-за неуверенности в продолжении поставок из США. Компании, встревоженные американским запретом, могут просто запустить план по «деамериканизации» или заменить компоненты своих товаров или цепочек поставок. Например, в феврале 2019 года WorldFirst, британская платформа для денежных переводов, которую используют многие из крупных торговых партнеров Amazon, закрыла свой американский бизнес перед тем, как ее купила китайская компания Ant Financial. Стороны сочли это единственным способом не дать американским законодателям заблокировать сделку в связи с опасениями, что она может угрожать национальной безопасности США. С другой стороны, китайская компания Hikvision нашла замену почти всем своим американским компонентам, чтобы попадание в американский черный список торговых партнеров не слишком сильно повлияло на ее бизнес.

Взвесим политические риски

Бизнес-лидерам нужно понять, что в дополнение к использованию передовых практик по смягчению предположительных угроз для кибербезопасности, создаваемых их цифровыми товарами/услугами, необходимо также готовиться к политическим рискам. TikTok внедрила несколько практик, направленных на смягчение этих рисков. В том числе, сервис хранит информацию об американских пользователях в США, а резервные копии этих данных — на сингапурских серверах. Компания закрыла доступ к своим данным для своей материнской организации ByteDance; наняла американца на пост генерального директора и сформировала оперативную группу, реагирующую на кризис, из американских сотрудников; укрепила свою команду лоббистов; ушла из Гонконга в связи с опасениями из-за нового китайского закона о национальной безопасности; запустила в Лос-Анджелесе «центр прозрачности» для модерации и регулирования порядка обращения с личными данными; запретила политическую и разъяснительно-пропагандистскую рекламу на своей платформе; разместила глобальную штаб-квартиру за пределами Китая. TikTok и ее сотрудники готовятся бороться с американским запретом посредством отдельных судебных исков.

Хотя эти практики пока не помогли TikTok отменить запрет, они, возможно, станут важными аргументами в ходе судебных разбирательств между компанией и США. Кроме того, может оказаться, что всем компаниям, ведущим международный бизнес, нужно следовать этим практикам, чтобы в условиях новой нормы реагировать на опасения по поводу угроз для кибербезопасности.

На самом деле запрет скорее повысит, а не снизит риски, так как он вызывает нарастание недоверия между странами и компаниями. Другие страны могут в отместку запретить американским компаниям работать на своей территории, и ситуация может обернуться цепной реакцией.

В последние годы правительства пытаются расширить свои возможности в области получения доступа к данным, содержащимся на устройствах или накопленных разными сервисами. Например, WhatsApp обещает в своей рекламе: «Все сообщения и звонки в WhatsApp защищены сквозным шифрованием. Это означает, что только вы и люди, с которыми вы общаетесь, могут прочитать ваши сообщения или прослушать ваши звонки». Но уже несколько раз (последний раз — в октябре 2019 года) США, Великобритания и Австралия пытались заставить компанию Facebook (которая владеет сервисом WhatsApp – прим. ред.) создать возможности, позволяющие получить доступ к зашифрованному содержанию сообщений пользователей. Пока Facebook и WhatsApp отказывают им в этом. Если такие возможности будут предоставлены и станут повсеместными, любой гаджет, подключенный к интернету, окажется устройством слежения и, вероятно, будет запрещен в каждой второй стране.

Злоупотребление «защитой национальной безопасности» нарастает лавинообразно и ведет к обострению торговой войны, которая может навредить мировой торговле. Похожая ситуацию сложилась в 1930-х годах в связи с «Тарифами Смута-Хоули». Их целью была защита американских фермеров, пострадавших в период Великой депрессии. Повышение тарифов на импорт должно было затруднить ввоз товаров из других стран, но, что не удивительно, почти все торговые партнеры США в ответ повысили свои тарифы. В результате объем импорта товаров в США уменьшился на 66%, а экспорта из США — на 61%, и Великая депрессия стала гораздо более суровой. В целом, в торговых войнах редко бывают победители, а в киберторговых войнах, возможно, их не бывает вовсе. 

Примечание от авторов: наше исследование частично оплачено членами MIT CAMS и MIT Internet Research Policy Initiative. Вклад обоих авторов в эту работу одинаков.

Об авторах

Кеман Хуанг (Keman Huang) — научный сотрудник в Школе менеджмента Слоуна в MIT, где он занимается управлением кибербезопасностью и политиками в этой области, инновационными экосистемами и анализом больших массивов данных.

Стюарт Мэдник (Stuart Madnick) — профессор информационных технологий в Школе менеджмента Слоуна в MIT, профессор инженерных систем в Школе инженерного дела в MIT, директор по кибербезопасности в MIT CAMS. Работает в сфере кибербезопасности с тех пор, как стал соавтором книги «Computer Security» в 1979 году.

* деятельность на территории РФ запрещена