A napokban foglalkoztunk az Európai Bizottság döntésével, hogy nem áll szándékában formálisan megtiltani a Huawei európai piacszerzését. De azt is fontosnak tartja az EB, hogy az EU tagállamai egységesen lépjenek fel a kockázatok felmérését és kezelését illetően. Azaz az Unió egyelőre nem akar az USA nyomásának engedni, amely már kitiltotta a kínai szállítót az 5G-s tenderekről.

A brit tudósok és a Huawei

Az EB álláspontjára némileg rímel az Egyesült Királyságban működő Huawei Cyber Security Assessment Center (HCSAC) friss jelentése, bár azt nem mondanánk, hogy megnyugtató lenne a küszöbön álló 5G-s fejlesztések szempontjából. Az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) által létrehozott központnak kifejezetten az a feladata, hogy vizsgálja a Huawei-eszközök alkalmazásának (nemzetbiztonsági) kockázatait a kritikus infrastruktúrákban.

Legfrissebb jelentésének megállapításai a Financial Times összefoglalója szerint egyáltalán nem hízelgőek a kínai hálózatieszköz-gyártóra nézve. Bár kémkedésre alkalmas hátsó kapukat nem fedeztek fel a rendszerekben, a fejlesztők trehány munkát végeztek, és nem figyeltek a fejlesztések során követendő biztonsági szabályokra. A HCSAC szakemberei több száz komoly sebezhetőséget találtak 2018-ban, melyeket meg is küldtek a hálózatüzemeltetőknek, és arra is figyelmeztettek, hogy néhány korábban azonosított problémát sem hárított el a gyártó.

Találtak hibát komponensmenedzsment rendszerben, súlyos sérülékenységeket a rádió-hozzáférési hálózatot az ügyfelek okostelefonjaival összekötő berendezések szoftvereiben stb. A jelentés szerint ezeken a sebezhetőségeken keresztül elegendő hozzáférési szint birtokában akár a teljes hálózat működését is befolyásolni lehet. Hozzá lehet férni a felhasználói forgalomhoz, vagy át lehet konfigurálni hálózati elemeket.

Problémás a Huawei hibajavítási gyakorlata

A Huawei is reagált a jelentésre: ígéretet tett arra, hogy kezeli a problémákat, a hibákat javítja a gyakorlatainak átdolgozásával párhuzamosan, de arra is felhívta a figyelmet, hogy ez akár három-öt évet is igénybe vehet. Tavaly decemberben azt is beígérte, hogy 2 milliárd dollárt szán a feltárt biztonsági problémák orvoslására.

De hiába az ígéret, a HCSAC jelentése szerint eddig nem sok minden változott a tavalyi jelentésben rögzített (hasonló) helyzethez képest. Mint írták, a Huawei régebbi kötelezettségvállalásai nem hoztak érzékelhető javulást a berendezések biztonságában.

És hogy miért nem, arra a The Register hoz egy érzékletes példát. Amikor 2013-ban az egyik szolgáltató az általa használt Huawei router firmware-ében olyan biztonsági hibát fedezett fel, amely távoli kódfuttatást tett lehetővé, a Huawei kijavította a hibát, de csak a szolgáltató által használt típusokban. A routercsalád többi modelljében, melyeket más szolgáltatók használtak, viszont nem, pedig a hiba azokban is megtalálható volt. Biztonsági kutatók még évekkel később is találtak a routercsaládból olyan típust, amelyben a 2013-ban azonosított sérülékenység megvolt, és amit később a Mirai botnet ki is használt.

A Huawei álláspontja

Cikk megjelenése után a Huawei magyarországi képviselete az alábbi közleményt juttatta el lapunknak, melyet változatlan formában közlünk.

A Huawei Technologies szóvivője útján kijelentette: az OB (Oversight Board) 2019-es jelentése ismételten elismeri a Huawei Kiberbiztonsági Értékelő Központ (HCSEC) hatékonyságát. A világon a Huawei által finanszírozott, ám egy adott - a brit - kormàny szakértői által lefolytatott kiberbiztonsàgi bevizsgálás és eredményének nyilvánosságra hozatala 2015 óta zajlik, amely egyelőre egyedi gyakorlat. A vállalat ezzel is arra hívja fel a figyelmet, hogy a telekommunikációs hálózatok globális biztonságáért a teljes iparágban felelősségteljesen kell eljárni, a szabályozóknak és a kormányzatoknak pedig együttesen kell dolgozniuk a magasabb szintű, közös kiberbiztonsági szabványok biztosításán és értékelésén.

A HCSEC szervezet, és az azt felügyelő OB munkájában a Huawei Technologies szakemberei is aktívan részt vesznek, valamint az OB évről évre – ahogy a 2019-es jelentés esetében is – a vállalat kérésére végzi el a felmérést. Az Oversight Board megállapításai – amelyek a jelentést alkotják – kizárólag a Huawei Technologies technikai értelemben vett szoftvertervezési hiányosságait tárták fel és a technológiát érintő (mérnöki) elégtelenségekre hívták fel a vállalat figyelmét, miként ez a riportban is szerepel.

A HCSEC a Huawei finanszírozásában működő, ám a brit kormányzati kiberbiztonsági szakemberek által használt, Huawei eszközöket bevizsgáló intézet.

Ahogy az idei közzétett jelentésben szerepel, "a Huawei egyesült királyságbeli jelenlétének felügyelete az egyik legszigorúbb az egész világon. Éppen ezért ez az összefoglaló nem tartalmazza azt, hogy az Egyesült Királyság hálózatai sebezhetőbbek lennének, mint tavaly voltak."

A jelentést minden évben közzéteszi az OB. A 2019-es riport egyébként aggodalmát fejezte ki a Huawei szoftvertervezési (mérnöki) tevékenységét illetően. "Komolyan vesszük a felmerülő aggályokat. A jelentésben megnevezett kérdéses pontok fontos ösztönzői a jelenleg zajló szoftvertervezési folyamatok átalakításának."

A Huawei Technologies igazgatótanácsa tavaly novemberben döntött például egy kétmilliárd amerikai dollár kezdőértékű, az egész vállalatot érintő átalakítási programról, amelynek célja a szoftveres folyamatok, és a mérnöki precizitás fejlesztése. Az említett programra magas színvonalú tervet készített a cég, a végrehajtásában pedig továbbra is együttműködik az Egyesült Királyság szolgáltatóival és a brit Nemzeti Kibervédelmi Intézettel (NCSC), hogy az elvárásoknak megfelelően még elterjedtebbé válhasson a felhő-, digitalizáció- és szoftveralapú technológia.

A Huawei Kiberbiztonsági Értékelő Központ (HCSEC) 2010 novembere óta vizsgálja a vállalat termékeinek felhasználását érintő kockázatokat a brit telekommunikációs hálózatokban és minden más kritikus infrastruktúrában.