Durante la cerimonia di inaugurazione del suo settimo e al momento più grande Global Cyber Security and Privacy Protection Transparency Center a Dongguan, in China, Huawei ha presentato un white paper che illustra il suo framework interno per la progettazione e lo sviluppo di apparecchiature di rete che prevede il rispetto di una linea di base per la sicurezza dei prodotti.

La proposta per governi, associazioni di categoria e istituti di standardizzazione, è quella di adottare uno standard comune per la valutazione e certificazione delle soluzioni di comunicazione.

I centri per la trasparenza in materia di sicurezza informatica e privacy sono stati la risposta di Huawei alle critiche e sospetti che governi e organizzazioni hanno espresso sull’affidabilità delle apparecchiature Huawei per le infrastrutture di rete.

Quelle che per lungo tempo sono state solo insinuazioni, sono culminate con gli ordini esecutivi del Governo USA che hanno imposto non solo un divieto all’utilizzo di componenti Huawei nelle reti di interesse nazionale, ma anche un embargo a qualsiasi forma di collaborazione tra aziende americane e il colosso ICT cinese. Questo ha comportato per esempio l’esclusione dei servizi Google dai nuovi telefoni Huawei.

I Cyber Security and Privacy Protection Transparency Center che Huawei ha aperto in diverse regioni (in Europa a Roma, Brussels e Londra), hanno lo scopo di consentire a governi, enti regolatori e grandi organizzazioni di ispezionare e testare i dispositivi avendo accesso alle apparecchiature, a strumenti e piattaforme di prova, informazioni sul loro funzionamento – inclusa l’ispezione del codice sorgente – e supporto necessario a valutare sicurezza e affidabilità dei prodotti.

Una security baseline globale

Ken Hu, rotating chairman di Huawei

Ken Hu, rotating chairman di Huawei

“La pandemia ha incentivato il lavoro a distanza e lo sviluppo di servizi digitali, e questo ha provocato un aumento degli attacchi che, ultimamente, coinvolgono sempre più spesso infrastrutture critiche come la sanità o l’energia. Il lavoro remoto è la nuova normalità, ed è fondamentale che sia svolto in sicurezza”, ha dichiarato il rotating chairman di Huawei Ken Hu, sottolineando come per farlo è importante che tutti gli stakeholder concordino su alcuni principi di base per la valutazione dell’affidabilità dei prodotti di cybersecurity, che deve essere basata su fatti e non su rumors e pregiudizi sui paesi di origine.

La posizione di Huawei, è che avere una baseline definita per la sicurezza ridurrebbe l’impegno necessario alla fase di selezione e certificazione dei dispositivi e renderebbe comprensibili e comparabili le caratteristiche di sicurezza delle soluzioni dei diversi produttori. Gli specifici stakeholder potrebbero poi specificare ulteriori requisiti più restrittivi, se volessero.

La proposta di Huawei mira a rafforzare ed estendere estendere iniziative come quella del framework NESAS (Network Equipment Security Assurance Scheme), definito da GSMA e 3GPP, ma che al momento è adottato solo da quattro vendor (oltre a Huawei stessa, Ericsson, Nokia e ZTE).

In questo contesto, Huawei ha svelato qual è il suo framework per la progettazione, produzione e validazione dei prodotti. Un processo che considera 54 requisiti, suddivisi in 15 categorie e derivanti da leggi, standard, certificazioni e pratiche interne. Il tutto è riassunto in questo white paper.

Il modello per lo sviluppo dei prodotti secondo la security baseline di Huawei (clic per ingrandire)

Il modello per lo sviluppo dei prodotti secondo la security baseline di Huawei (clic per ingrandire)

Il tema della fiducia in un mondo digitale

È comprensibile che Huawei si preoccupi di fugare ogni dubbio sulla sua affidabilità come fornitore di apparecchiature critiche per l’infrastruttura digitale e le comunicazioni di paesi, aziende e organizzazioni, ma il problema che prima o poi andrà affrontato è ben più ampio: non coinvolge solo le apparecchiature, e non riguarda solo le aziende cinesi.

In una situazione in cui molte aziende di telecomunicazioni spesso subappaltano a fornitori esterni aspetti critici del proprio business come la gestione della propria rete o la fatturazione (cosa che richiede l’accesso al registro delle chiamate di tutti gli utenti), sapere che i dispositivi sono sicuri è una magra consolazione. Nei mesi scorsi, nei Paesi Bassi aveva destato scalpore il rapporto di un audit interno del gestore telefonico olandese KPN in cui si affermava che personale Huawei, dai Paesi Bassi e dalla Cina, avrebbe avuto accesso alle comunicazioni di tutti i suoi utenti, incluso il primo ministro.

Le due aziende hanno negato che siano mai stati effettuati accessi illegittimi a informazioni e comunicazioni riservate, ma a fine maggio il governo ha vietato agli operatori locali di acquistare apparecchiature Huawei dalle loro core network (i dettagli del divieto sono segreti, ma la sostanza è stata confermata da un rappresentante Huawei al quotidiano Financieele Dagblad).

Comunque siano andate le cose, il risultato non dovrebbe far piacere a nessuno.

Sull’altra sponda dell’Atlantico, con il Cloud Act l’amministrazione USA si riserva il diritto di acquisire dati e comunicazioni da qualsiasi azienda, anche europea, che abbia rappresentanza negli USA, indipendentemente dal paese in cui i dati sono effettivamente archiviati. Il tutto dovrebbe avvenire nel contesto di un procedimento giuridico per reati gravi, ma Amazon stessa dichiara nella sua FAQ a riguardo di aver fatto più volte ricorso perché “le richieste governative per ottenere le informazioni dei clienti ci sembravano esagerate o altrimenti inappropriate“.

Se però usciamo dai binari dei legittimi procedimenti giuridici, come Edward Snowden ha ampiamente spiegato, le capacità di spionaggio elettronico del Governo USA – con o senza assistenza da parte di aziende tech nazionali – hanno estensione e profondità preoccupanti.

Nemmeno l’open source, come dimostrato dalle infiltrazioni di agenzie governative nelle community che per anni hanno minato la sicurezza dei software in vario modo, sembra offrire al momento una soluzione praticabile. Anche perché lo sviluppo aperto dovrebbe essere esteso alla componente hardware, ben più complicata da gestire.

Per il momento, la strada sembra essere quella di verificare tutto e non fidarsi di nessuno. Un gran freno allo sviluppo della tecnologia 5G.