Press enter to see results or esc to cancel.

Podsumowanie piątego raportu rocznego Centrum Oceny Cyberbezpieczeństwa Huawei

Poniżej informacje z piątego raportu rocznego Centrum Oceny Cyberbezpieczeństwa Huawei zwanego HCSEC (link).

HCSEC działa już w Wielkiej Brytanii od ośmiu lat. Jego otwarcie nastąpiło w listopadzie 2010 roku na podstawie uzgodnień między Huawei i rządem Jej Królewskiej Mości (HMG) w celu złagodzenia wszelkiego postrzeganego ryzyka wynikającego z zaangażowania Huawei w części krytycznej brytyjskiej infrastruktury krajowej.

Rolą HCSEC jest zapewnienie oceny bezpieczeństwa dla szeregu produktów stosowanych w telekomunikacji na brytyjskim rynku. Dzięki działaniu HCSEC rząd Wielkiej Brytanii otrzymuje wgląd w strategie działania Huawei na brytyjskim rynku i wdrażane produkty. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (zwane w skrócie – NCSC, a wcześniej Centrala Komunikacji Rządowej) (GCHQ)), jako krajowy organ techniczny ds. zapewnienia informacje i wiodąca agencja rządowa ds. Bezpieczeństwa cybernetycznego, prowadzi dialog w imieniu rządu brytyjskiego  z Huawei w zakresie technicznych kwestii bezpieczeństwa.

Rada nadzorcza HCSEC (Oversight Body), została utworzona w 2014 r. Radzie przewodniczy Ciaran Martin, dyrektor naczelny NCSC oraz członek wykonawczy zarządu GCHQ odpowiedzialny za bezpieczeństwo cybernetyczne. W radzie nadzorczej zasiada też dyrektor z Huawei na stanowisku zastępcy przewodniczącego, a także są w radzie wyżsi przedstawiciele z całego rządu i brytyjskiego sektora telekomunikacyjnego. Struktura Rady Nadzorczej nie zmieniła się znacząco, ale członkostwo zmieniło się w 2018 r. Wynika to głównie z rotacji personelu zarówno na stanowiskach HMG, jak i Huawei.

Rada nadzorcza zakończyła piąty pełny rok pracy. Szczegółowe informacje na temat pracy HCSEC znajdują się w części II raportu.

Poniżej podsumowanie głównych wniosków:

  • Zakończono rozlokowanie HCSEC w nowych bezpiecznych pomieszczeniach – przeniesienie nowej siedziby HCSEC odbyło się z opóźnieniami, ale teraz zakończyło się pomyślnie i nowe obiekty są w pełni operacyjne.
  • W przeglądzie kompetencji technicznych NCSC stwierdziła, że możliwości HCSEC poprawiły się w 2018 r., a jakość personelu nie zmniejszyła się, co oznacza, że ​​prace techniczne związane ze strategią cyberbezpieczeństwa mogą być realizowana w zakładanej skali i wysokiej jakości.
  • Piąty niezależny audyt zdolności HCSEC do działania niezależnie od centrali Huawei w ChRL został zakończony znowu pomyślnie. Raport z audytu zidentyfikował jedynie jedną rzecz o niskiej skali ryzyka, dotyczącą dostarczania informacji i sprzętu w ramach uzgodnionego SLA. Audytor Ernst & Young (EY) stwierdził, że nie wykryto błędów w działaniu i HCSEC jest niezależne od centrali w Chinach. Rada Nadzorcza jest zadowolona, że HCSEC działa zgodnie z ustaleniami z 2010 r. między HMG a Huawei.
  • Dalsze istotne problemy techniczne zostały zidentyfikowane w procesie wytwórczym oprogramowania firmy Huawei, prowadzące do nowych zagrożeń dla sieci telekomunikacyjnych w Wielkiej Brytanii.
  • Huawei nie poczynił żadnych istotnych postępów w naprawianiu problemów zgłoszonych w ubiegłym roku, co spowodowało, że zmiana poziomu pewności do działania i załatania dziur bezpieczeństwa z zeszłego roku jest niewskazana.

Najważniejsze wnioski z piątego roku pracy Rady Nadzorczej są następujące:

  • W 2018 r. HCSEC wypełniło swoje zobowiązania w zakresie dostarczania artefaktów inżynierii oprogramowania i bezpieczeństwa cybernetycznego do operatorów NCSC i Wielkiej Brytanii w ramach strategii zarządzania ryzykiem dla bezpieczeństwa narodowego Wielkiej Brytanii w związku z zaangażowaniem Huawei w infrastrukturze krytycznej Wielkiej Brytanii
  • Jednak, jak odnotowano w 2018 r., w wyniku prac HCSEC nadal można zidentyfikować ryzyka związane z podejściem Huawei do tworzenia i rozwoju oprogramowania skutkujące znacznym zwiększeniem ryzyka dla operatorów brytyjskich, co wymaga ciągłego zarządzania ryzykiem i ich mitygacji.
  • Nie poczyniono istotnych postępów w kwestiach poruszonych w poprzednim sprawozdaniu z 2018 r .
  • Rada Nadzorcza nadal posiada ograniczoną pewność, że długoterminowe zagrożenia bezpieczeństwa wynikające z podatnego na ataki oprogramowania Huawei mogą być zmitygowane w sprzęcie Huawei który aktualnie został już wdrożony w Wielkiej Brytanii
  • Rada Nadzorcza informuje, że trudno będzie zarządzać ryzykiem w przyszłych produktach Huawei w krytycznej infrastrukturze. Warunkiem do nabrania pewności przez Radę Nadzorczą jest usunięcie zdiagnozowanych wad w procesie wytwarzania oprogramowania.
  • Do tej pory Rada Nadzorcza nie zobaczyła niczego negatywnego, co mogłoby dać jej pewność co do braku zdolności Huawei do pomyślnego rozwiązania sprawy i naprawy procesu wytwarzania oprogramowania.
  • Zarząd dalej będzie wymagał lepszej inżynierii oprogramowania i wzrostu jakości i bezpieczeństwa procesu cybernetycznego weryfikowanego przez HCSEC i NCSC
  • Ogólnie rzecz biorąc, Rada Nadzorcza może zapewnić jedynie ograniczoną pewność co do tego ,że wszystkie zagrożenia dla bezpieczeństwa narodowego Wielkiej Brytanii wynikające z zaangażowania Huawei w infrastrukturze krytycznej w Wielkiej Brytanii mogą być wystarczająco złagodzone w długim okresie czasu.

 

Mój krótki komentarz:

  • sprawy dotyczą często routerów domowych Huawei (link), który w swoich produktach wykorzystuje gotowe fragmenty oprogramowania przygotowane przez innych. Problemy szczególnie pojawiły się w portach uSB (mechanizmy UPnP)
  • łatanie dziur nie odbywa się systematycznie w produktach Huawei (domowe routery) a na wniosek lub w związku z zarzutami
  • nie wykryto żadnych celowych działań zmierzających do tworzenia dziur bezpieczeństwa oraz umożliwiania i dokonywania szpiegostwa
  • obecne problemy w kodzie wynikają z niechlujstwa i braku profesjonalnych dobrze działających procesów kontroli bezpieczeństwa w procesie tworzenia oprogramowania
  • Czy takie coś może dziwić? W turbo kapitaliźmie – raczej nie. Jeśli chcemy mieć produkt szybko i dopasowany (customised) do konkretnego wdrożenia tam programista robi coś szybko i jak widać niechlujnie
  • pytanie co by było gdyby takie samo centrum otworzyli inni dostawcy np. Ericsson, Nokia, Motorola, i wiele innych, tak by móc prześwietlać ich produkty.
  • Marzy mi się aby takie centrum powstało w Polsce i aby np. NASK, mógł skanować, przeczesywać i certyfikować produkty na Europę, minimum region CEE.

PS. Pasjonatom polecam rozdział 3. – Improvement Testing on LTE eNodeB z opisem wielu wykrytych zagrożeń, wykorzystywaniu starego oprogramowania podatnego na ataki (OpenSSL) itd

 

 

Piotr Mieczkowski

Shaping the digital transformation & helping clients achieve their goals.

https://tmt.expert