Federalna Komisja Łączności (FCC) zakazała wprowadzania na rynek nowych routerów produkowanych poza USA. Decyzja wywołała bezprecedensowe poruszenie w branży technologicznej. Eksperci nie mają wątpliwości: to ruch, który może na lata zmienić sposób myślenia o bezpieczeństwie infrastruktury cyfrowej – także w Europie i Polsce.
Zakaz obejmuje praktycznie wszystkie nowe urządzenia, w których jakikolwiek etap produkcji – od projektowania po montaż – odbywa się poza Stanami Zjednoczonymi. W praktyce oznacza to, iż niemal każdy router dostępny dziś na rynku amerykańskim podlega nowym ograniczeniom. FCC uznała, iż urządzenia te mogą stanowić „niedopuszczalne ryzyko” dla bezpieczeństwa narodowego.
– Decyzja FCC odzwierciedla szerszy problem, który branża obserwuje od lat – routery i urządzenia brzegowe stały się jednym z najbardziej atrakcyjnych i jednocześnie najsłabiej monitorowanych punktów wejścia dla cyberataków – mówi Sergey Shykevich z firmy Check Point Software Technologies. – To nie jest kwestia jednego kraju czy producenta. Chodzi o ograniczenie ryzyka systemowego i poprawę standardów bezpieczeństwa w całym łańcuchu dostaw – dodaje ekspert.
Choć regulacja nie obejmuje modeli już dopuszczonych do sprzedaży, jej skutki są dalekosiężne. Firmy mogą przez cały czas sprzedawać istniejące urządzenia, ale nie mogą wprowadzać nowych bez uzyskania specjalnej zgody. W efekcie – jak podkreślają analitycy – rynek został de facto „zamrożony”, a producenci próbują dostosować swoje łańcuchy dostaw do nowych wymogów.
Globalne łańcuchy dostaw pod lupą
Decyzja FCC obnażyła skalę globalizacji produkcji sprzętu sieciowego. choćby firmy uznawane za amerykańskie, jak Netgear, produkują swoje urządzenia w Azji – m.in. w Wietnamie, Tajlandii czy na Tajwanie. Wyjątkiem jest Starlink, który według deklaracji produkuje swoje najnowsze routery w Teksasie. To pokazuje, jak trudne – a być może nierealne – jest całkowite „uniezależnienie” się od globalnych łańcuchów dostaw w branży technologicznej.
Sygnał dla Europy i Polski?
Choć decyzja dotyczy rynku amerykańskiego, jej konsekwencje mogą być globalne. Europa – podobnie jak USA – coraz większą wagę przywiązuje do bezpieczeństwa infrastruktury cyfrowej i kontroli nad łańcuchami dostaw. W Polsce, po koniec 2024 roku, rząd podjął szereg działań zmierzających do ograniczenia lub wyeliminowania sprzętu IT chińskich firm z infrastruktury krytycznej oraz zamówień publicznych, argumentując to względami bezpieczeństwa narodowego. W Unii, TSUE podjął w 2022 roku uchwały z których wynika, iż wykonawcy z państw trzecich nie mogą ubiegać się o dostęp do zamówień publicznych na wspólnym rynku na takich samych zasadach jak wykonawcy z Unii Europejskiej, a także państwa będące stroną umowy GPA (takie jak Liechtenstein, Norwegia, Kanada, Tajwan, USA, Islandia, Singapur oraz Izrael).
Bezpieczeństwo dziś kontra ryzyko jutra
Największe kontrowersje budzi jednak nie sam zakaz, ale jego konsekwencje dla użytkowników. Zgodnie z komunikatem FCC producenci będą mogli dostarczać aktualizacje systemu „co najmniej do 1 marca 2027 roku”. Po tym terminie wiele urządzeń może zostać pozbawionych wsparcia bezpieczeństwa. To rodzi poważne pytania o sens regulacji. Routery – najważniejsze elementy domowych i firmowych sieci – bez regularnych aktualizacji stają się łatwym celem dla cyberprzestępców. Eksperci ostrzegają, iż decyzja, która miała zwiększyć bezpieczeństwo, może paradoksalnie je osłabić.
– Jeśli ograniczamy dostęp do aktualizacji bezpieczeństwa, to w rzeczywistości pogarszamy sytuację, a nie ją poprawiamy – wskazują przedstawiciele organizacji zajmujących się ochroną prywatności. W tej sytuacji analitycy rynku rekomendują ostrożność. Zakup nowego routera dziś może oznaczać, iż za rok urządzenie nie będzie już otrzymywać poprawek bezpieczeństwa. Sytuacja jest tym bardziej skomplikowana, iż wciąż nie wiadomo, które firmy otrzymają wyjątki od zakazu. Więcej szczegółów ma pojawić się w najbliższych miesiącach.
