Rząd Wielkiej Brytanii opublikował raport bezpieczeństwa dotyczący sprzętu Huawei wykorzystywanego do tworzenia sieci telekomunikacyjnych i jest on w większości negatywnego wydźwięku. Analiza wskazała, że Huawei cechuje się "poważnymi i systematycznymi defektami" widocznymi w oprogramowaniu oraz w kompetencjach z zakresu cyberbezpieczeństwa. Raport przygotowało centrum oceny cyberbezpieczeństwa Huawei (HCSEC), powołane do życia w 2010 roku, by dostarczać agencjom bezpieczeństwa informacji na temat sprzętu chińskiego producenta, wraz z sugestiami dotyczącymi wykorzystania ich w infrastrukturze telekomunikacyjnej w UK. Za pośrednictwem rady nadzorczej HCSEC, która powstała w 2014 roku, rząd Wielkiej Brytanii jest informowany o strategiach produktowych Huawei i planie działania firmy, a także pozwala rządowi na ocenę bezpieczeństwa sprzętu Huawei.
HCSEC zastanawia się jak mniejsze kraje mogą budować infrastrukturę sieciową w oparciu o sprzęt Huawei i mieć pewność, że Chińczycy nie przechwytują danych. Z drugiej strony wciąż brak twardych dowodów przeciw Huawei.
Największym problemem jest brak możliwości poprawnego zweryfikowania, czy kod oprogramowania dostarczonego przez Huawei do analizy, jest identyczny z tym znajdującym się w urządzeniach Huawei na terenie Wielkiej Brytanii. Póki nie zostanie to poprawione, Huawei może potencjalnie dostarczać czystą wersję oprogramowania do weryfikacji, a w urządzeniach instalować firmware z tylnymi furtkami. W raporcie podkreślono również, że ten sam sprzęt Huawei może mieć wgrane różne wersje oprogramowania w różnych częściach sieci, co oznacza, że firmware może posiadać różne poziomy zabezpieczeń. Przykładowo część sprzętu będzie posiadać poprawki bezpieczeństwa, podczas gdy reszta będzie działać na starszym oprogramowaniu. HCSEC ostrzega, że Huawei nadal korzysta z niezabezpieczonych programów innych firm i że ich oprogramowanie związane z LTE jest coraz gorsze z punktu widzenia jakości kodu. HCSEC uważa, że inżynierom Huawei brakuje wystarczających kompetencji technicznych.
W ubiegłym roku, początkowo bagatelizując zaniepokojenie wielu rządów, Huawei zobowiązał się zainwestować 2 miliardy dolarów, aby rozwiać obawy dotyczące bezpieczeństwa i odzyskać nadszarpnięte zaufanie. Jednak zgodnie z najnowszym raportem, rząd Wielkiej Brytanii nie wierzy w możliwość, by Huawei w pełni rozwiązało problemy z bezpieczeństwem i było w stanie odpierać zarzuty. Raport dodaje również, że od zeszłego roku Huawei praktycznie nie poczyniło żadnych postępów w rozwiązywaniu omawianych problemów. Niektórzy brytyjscy urzędnicy uważają, że rząd może zmniejszyć ryzyko wpływu chińskiego wywiadu w sprzęt Huawei, jednak najnowszy raport całkowicie przeczy takim stwierdzeniom. Rada Nadzorcza HCSEC stwierdziła, że „może zapewnić jedynie ograniczone przekonanie, że wszystkie zagrożenia dla bezpieczeństwa narodowego UK, które wynikają z zaangażowania Huawei w krytyczne obszary sieci Wielkiej Brytanii, mogą zostać wystarczająco złagodzone w dłuższym okresie”. Innymi słowy, jeśli państwo chińskie faktycznie ingeruje w sprzęt Huawei, HCSEC prawdopodobnie nie będzie w stanie temu zapobiec. HCSEC analizuje Huawei już 5 lat i wciąż nie wierzy, że firma ta jest w stanie zapewnić choćby podstawowe bezpieczeństwo, ani że oprogramowanie nie posiada elementów szpiegujących.
UPDATE 02.04.019
Przedstawiciel Huawei przesłał do nas następujące oświadczenie:
W raporcie na 2019 r. opublikowanym przez Huawei Cyber Security Evaluation Centre Oversight Board, ponownie uznano skuteczność działań jednostki HCSEC. Jak wskazano w dokumencie: „Nadzór przewidziany w strategii kontroli nad obecnością Huawei w Wielkiej Brytanii jest prawdopodobnie najbardziej rygorystyczny na świecie. Raport ten nie sugeruje zatem, że brytyjskie sieci telekomunikacyjne są obecnie bardziej podatne na zagrożenia niż w roku ubiegłym”.
Raport HCSEC Oversight Board 2019 uwzględnia pewne obawy dotyczące inżynierii oprogramowania Huawei. Rozumiemy te obawy i traktujemy je bardzo poważnie. Problemy zidentyfikowane w raporcie stanowią istotny wkład w proces transformacji naszych działań w obszarze inżynierii oprogramowania. W listopadzie ubiegłego roku Zarząd Huawei podjął uchwałę o wdrożeniu programu transformacji obejmującego całą firmę, którego celem jest udoskonalenie naszych możliwości w zakresie inżynierii oprogramowania. Początkowy budżet programu to 2 mld dolarów.
Opracowaliśmy szczegółowy plan programu i będziemy kontynuować współpracę z brytyjskimi operatorami i NCSC (National Cyber Security Centre) podczas jego wdrażania, aby sprostać nowym wymaganiom pojawiającym się wraz z rozwojem środowisk chmurowych, procesów cyfryzacji i rozwiązań definiowanych programowo. Aby zapewnić nieprzerwane bezpieczeństwo globalnych sieci telekomunikacyjnych, przedstawiciele branży, organy regulacyjne i władze państwowe muszą wspólnie pracować nad powszechnymi standardami zapewniania i oceny bezpieczeństwa cybernetycznego.
Pokaż / Dodaj komentarze do: Rząd brytyjski wydaje raport na temat bezpieczeństwa Huawei. Jest źle...