Podsumowanie piątego raportu rocznego Centrum Oceny Cyberbezpieczeństwa Huawei
Poniżej informacje z piątego raportu rocznego Centrum Oceny Cyberbezpieczeństwa Huawei zwanego HCSEC (link).
HCSEC działa już w Wielkiej Brytanii od ośmiu lat. Jego otwarcie nastąpiło w listopadzie 2010 roku na podstawie uzgodnień między Huawei i rządem Jej Królewskiej Mości (HMG) w celu złagodzenia wszelkiego postrzeganego ryzyka wynikającego z zaangażowania Huawei w części krytycznej brytyjskiej infrastruktury krajowej.
Rolą HCSEC jest zapewnienie oceny bezpieczeństwa dla szeregu produktów stosowanych w telekomunikacji na brytyjskim rynku. Dzięki działaniu HCSEC rząd Wielkiej Brytanii otrzymuje wgląd w strategie działania Huawei na brytyjskim rynku i wdrażane produkty. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (zwane w skrócie – NCSC, a wcześniej Centrala Komunikacji Rządowej) (GCHQ)), jako krajowy organ techniczny ds. zapewnienia informacje i wiodąca agencja rządowa ds. Bezpieczeństwa cybernetycznego, prowadzi dialog w imieniu rządu brytyjskiego z Huawei w zakresie technicznych kwestii bezpieczeństwa.
Rada nadzorcza HCSEC (Oversight Body), została utworzona w 2014 r. Radzie przewodniczy Ciaran Martin, dyrektor naczelny NCSC oraz członek wykonawczy zarządu GCHQ odpowiedzialny za bezpieczeństwo cybernetyczne. W radzie nadzorczej zasiada też dyrektor z Huawei na stanowisku zastępcy przewodniczącego, a także są w radzie wyżsi przedstawiciele z całego rządu i brytyjskiego sektora telekomunikacyjnego. Struktura Rady Nadzorczej nie zmieniła się znacząco, ale członkostwo zmieniło się w 2018 r. Wynika to głównie z rotacji personelu zarówno na stanowiskach HMG, jak i Huawei.
Rada nadzorcza zakończyła piąty pełny rok pracy. Szczegółowe informacje na temat pracy HCSEC znajdują się w części II raportu.
Poniżej podsumowanie głównych wniosków:
- Zakończono rozlokowanie HCSEC w nowych bezpiecznych pomieszczeniach – przeniesienie nowej siedziby HCSEC odbyło się z opóźnieniami, ale teraz zakończyło się pomyślnie i nowe obiekty są w pełni operacyjne.
- W przeglądzie kompetencji technicznych NCSC stwierdziła, że możliwości HCSEC poprawiły się w 2018 r., a jakość personelu nie zmniejszyła się, co oznacza, że prace techniczne związane ze strategią cyberbezpieczeństwa mogą być realizowana w zakładanej skali i wysokiej jakości.
- Piąty niezależny audyt zdolności HCSEC do działania niezależnie od centrali Huawei w ChRL został zakończony znowu pomyślnie. Raport z audytu zidentyfikował jedynie jedną rzecz o niskiej skali ryzyka, dotyczącą dostarczania informacji i sprzętu w ramach uzgodnionego SLA. Audytor Ernst & Young (EY) stwierdził, że nie wykryto błędów w działaniu i HCSEC jest niezależne od centrali w Chinach. Rada Nadzorcza jest zadowolona, że HCSEC działa zgodnie z ustaleniami z 2010 r. między HMG a Huawei.
- Dalsze istotne problemy techniczne zostały zidentyfikowane w procesie wytwórczym oprogramowania firmy Huawei, prowadzące do nowych zagrożeń dla sieci telekomunikacyjnych w Wielkiej Brytanii.
- Huawei nie poczynił żadnych istotnych postępów w naprawianiu problemów zgłoszonych w ubiegłym roku, co spowodowało, że zmiana poziomu pewności do działania i załatania dziur bezpieczeństwa z zeszłego roku jest niewskazana.
Najważniejsze wnioski z piątego roku pracy Rady Nadzorczej są następujące:
- W 2018 r. HCSEC wypełniło swoje zobowiązania w zakresie dostarczania artefaktów inżynierii oprogramowania i bezpieczeństwa cybernetycznego do operatorów NCSC i Wielkiej Brytanii w ramach strategii zarządzania ryzykiem dla bezpieczeństwa narodowego Wielkiej Brytanii w związku z zaangażowaniem Huawei w infrastrukturze krytycznej Wielkiej Brytanii
- Jednak, jak odnotowano w 2018 r., w wyniku prac HCSEC nadal można zidentyfikować ryzyka związane z podejściem Huawei do tworzenia i rozwoju oprogramowania skutkujące znacznym zwiększeniem ryzyka dla operatorów brytyjskich, co wymaga ciągłego zarządzania ryzykiem i ich mitygacji.
- Nie poczyniono istotnych postępów w kwestiach poruszonych w poprzednim sprawozdaniu z 2018 r .
- Rada Nadzorcza nadal posiada ograniczoną pewność, że długoterminowe zagrożenia bezpieczeństwa wynikające z podatnego na ataki oprogramowania Huawei mogą być zmitygowane w sprzęcie Huawei który aktualnie został już wdrożony w Wielkiej Brytanii
- Rada Nadzorcza informuje, że trudno będzie zarządzać ryzykiem w przyszłych produktach Huawei w krytycznej infrastrukturze. Warunkiem do nabrania pewności przez Radę Nadzorczą jest usunięcie zdiagnozowanych wad w procesie wytwarzania oprogramowania.
- Do tej pory Rada Nadzorcza nie zobaczyła niczego negatywnego, co mogłoby dać jej pewność co do braku zdolności Huawei do pomyślnego rozwiązania sprawy i naprawy procesu wytwarzania oprogramowania.
- Zarząd dalej będzie wymagał lepszej inżynierii oprogramowania i wzrostu jakości i bezpieczeństwa procesu cybernetycznego weryfikowanego przez HCSEC i NCSC
- Ogólnie rzecz biorąc, Rada Nadzorcza może zapewnić jedynie ograniczoną pewność co do tego ,że wszystkie zagrożenia dla bezpieczeństwa narodowego Wielkiej Brytanii wynikające z zaangażowania Huawei w infrastrukturze krytycznej w Wielkiej Brytanii mogą być wystarczająco złagodzone w długim okresie czasu.
Mój krótki komentarz:
- sprawy dotyczą często routerów domowych Huawei (link), który w swoich produktach wykorzystuje gotowe fragmenty oprogramowania przygotowane przez innych. Problemy szczególnie pojawiły się w portach uSB (mechanizmy UPnP)
- łatanie dziur nie odbywa się systematycznie w produktach Huawei (domowe routery) a na wniosek lub w związku z zarzutami
- nie wykryto żadnych celowych działań zmierzających do tworzenia dziur bezpieczeństwa oraz umożliwiania i dokonywania szpiegostwa
- obecne problemy w kodzie wynikają z niechlujstwa i braku profesjonalnych dobrze działających procesów kontroli bezpieczeństwa w procesie tworzenia oprogramowania
- Czy takie coś może dziwić? W turbo kapitaliźmie – raczej nie. Jeśli chcemy mieć produkt szybko i dopasowany (customised) do konkretnego wdrożenia tam programista robi coś szybko i jak widać niechlujnie
- pytanie co by było gdyby takie samo centrum otworzyli inni dostawcy np. Ericsson, Nokia, Motorola, i wiele innych, tak by móc prześwietlać ich produkty.
- Marzy mi się aby takie centrum powstało w Polsce i aby np. NASK, mógł skanować, przeczesywać i certyfikować produkty na Europę, minimum region CEE.
PS. Pasjonatom polecam rozdział 3. – Improvement Testing on LTE eNodeB z opisem wielu wykrytych zagrożeń, wykorzystywaniu starego oprogramowania podatnego na ataki (OpenSSL) itd
Comments
Comments are disabled for this post