Kiberbiztonsági központtal győzné meg az EU-t a Huawei
Soha nem volt még annyira aktuális probléma a kiberbiztonság a kínai IT-piaci szereplőket érintően, mint manapság, így a Huawei Technologies mondhatni jó érzékkel nyitotta meg európai kiberbiztonsági központját tegnap Brüsszelben. A cég látszólag komoly gesztust tett ezzel európai partnerei és a helyi kormányzatok felé, kérdés, hogy ez elég lesz-e az amerikai lobbi ellenében.
Kiberbiztonsági Átláthatósági Központot (Cyber Security Transparency Centre) nyitott tegnap Brüsszelben a Huawei Technologies, mely jelenleg a világ legnagyobb mobilhálózati infrastruktúra-beszállítója, emellett adatközponti termékekkel és természetesen felhasználói végberendezésekkel (okostelefonok, modemek, routerek stb.) van jelen a globális piacokon. A kínai cég legfontosabb piaca Ázsia mellett éppen Európa, ahol a vállalat az utóbbi hónapokban sorra kapta a pofonokat, és ahol a kontinens országainak egyik legfőbb szövetségese, az Amerikai Egyesült Államok komoly erőket bevetve kampányol annak érdekében, hogy a Huawei eszközei a lehető legtöbb EU-s tagország kommunikációs infrastruktúrájából kiszoruljanak.
Súlyos vádak
Az USA által a Huawei ellen többször felhozott vád a kémkedés, illetve egy kémkedésre alapot adó kínai törvény, mely szerint a kínai cégeknek lényegében mindenben együtt kell működniük az ország szakszolgálataival. A vádak szerint a Huawei ennek érdekében olyan rejtett hátsó kapukat helyezett el, illetve helyez el a kritikus infrastruktúra-berendezések szoftverében, melyen keresztül a kínai hírszerzés gyakorlatilag kénye-kedve szerint szerezhet meg különböző információkat, rosszabb esetben megpiszkálhatja a kommunikációs adatfolyamot vagy Kína akár szabotálhatja is a hálózatok működését, ami az eljövendő 5G-érában katasztrofális következményekkel járhatna egy-egy, az országgal éppen kevésbé felhőtlen viszonyt ápoló tagállam vagy akár egy egész régió számára.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Tekintve, hogy a Huawei számára Európa rendkívül fontos felvevőpiac, kulcskérdés az ügyfelek és kormányok bizalmának visszaszerzése vagy megtartása - részben ennek jegyében nyitotta meg brüsszeli kiberbiztonsági központját (ECSTC) a cég, jóllehet a központ létrehozásának előkészületei a Huawei szerint jóval azelőtt - egy éve - kezdődtek, hogy a cég kémkedési botránya kicsúcsosodott volna Európában. A tegnapi ünnepélyes megnyitó is ehhez igazítva lett felépítve: A vállalat mintha tudomást sem vett volna arról, hogy az iparág és a nemzetállamok kormányai kifejezetten a Kína által jelentett kiberbiztonsági fenyegetésre hívják fel a figyelmet, melyhez a vádak szerint a kínai techcégek készséggel asszisztálnak.
Ken Hu, a Huawei elnök-vezérigazgatója a központ megnyitóján ennek megfelelően az iparág átfogó problémájaként jellemezte a kiberbiztonságba vetett bizalom csökkenését, ezzel együtt azért burkolt üzeneteket is megfogalmazott beszédében: "A bizalomnak és a bizalmatlanságnak egyaránt tényeken kellene alapulniuk, nem megérzéseken, nem spekulációkon és nem alaptalan pletykákon" - jelentette ki Hu az eseményen, ezzel nyilvánvalóan az USA és szövetségesei által megfogalmazott vádakra utalva.
"Nyitottság, átláthatóság, együttműködés"
Az ECSTC megnyitásának célja a Huawei elképzelései szerint ennek a bizalomnak az erősítése lehet. A központban ennek megfelelően lehetőségük nyílik a partnereknek és a különböző kormányzati szerveknek arra, hogy a gyártó által forgalmazott eszközökön - legyen szó maghálózati berendezésről, szerverekről vagy éppen okostelefonról - futó szoftverek forráskódját átvilágítsák. Ehhez tetszőleges eszközt választhatnak a partnerek, bevonhatnak akár külső audit-szolgáltatókat is, az egyetlen feltétel, hogy a forráskódot csak helyben, zárt ajtók mögött lehet vizsgálni, a laboratóriumokból semmilyen kód vagy kódrészlet nem szivároghat ki.
A megnyitót követően Mika Lauhde, a Huawei kiberbiztonságért felelős alelnöke a HWSW kérdésére elmondta, a partnerek által vizsgált kód validálása aláírókulcsokkal (hash-check) történik, így nem fordulhat elő az, hogy a teszten "tisztának" mutatkozó kód helyett a megvásárolt eszközre módosított szoftver kerül. A finn származású vezető hozzátette, a Huawei a brüsszeli, illetve más országokban (többek közt Németország, Kanada, Nagy-Britannia) működő hasonló laboratóriumaival olyan szintű nyitottságot vállal, melyet más iparági szereplők "nem szívesen fogadnának magukra nézve kötelezőnek".
Ezzel együtt is kérdéses, hogy a brüsszeli intézmény megnyitása a politikai üzenetküldésen túl eléri-e a célját. A Huawei-nek 2010 óta létezik kifejezetten az angol szabályozó és nemzetbiztonsági szervek munkáját támogató kiberbiztonsági központja Oxfordshire-ban, a brit kormány ennek ellenére a legfrissebb sajtóértesülések szerint arra készül, hogy a Huawei berendezéseire vonatkozó volumen-korlátozást vezessen be az országban működő operátorok számára. A kiszivárgott információk szerint a szabályozás értelmében egy operátornak a Huawei mellett legalább egy másik infrastruktúra-gyártóval is megállapodást kellene kötnie, mégpedig úgy, hogy a kínai beszállító legfeljebb 50%-os arányban képviselheti magát eszközeivel a rendszerben.
Kiberbiztonsági szakértők emellett emlékeztetnek egy másik, kísértetiesen hasonló esetre, mely az orosz Kaspersky Lab által fejlesztett biztonsági, illetve antivírus-szoftverek használatának korlátozásához vagy éppen teljes tiltásához vezetett több ország nemzetbiztonsági szempontból kritikus hálózatában. A vád lényegében ugyanaz volt, mint a kínai esetben: A Kaspersky támogatást nyújthatott orosz kémtevékenységhez. A szoftvercég erre válaszul adatközpontját Moszkvából Zürichbe helyezte át, egyben a Huaweihez hasonlóan lehetőséget adott a kormányzati szervek számára a forráskódok vizsgálatára. Ez azonban nem különösebben hatotta meg a brit kormányt, mely ugyan "a jó irányba tett fontos lépésnek" értékelte a gesztust, de fenntartotta a Kaspersky termékekre vonatkozó kockázati ajánlását.
Ellenük dolgozik az idő
A Huawei szempontjából ugyanakkor nincs sok vesztegetni való idő, az 5G-s spektrumok rövidesen esedékes kiosztását követően vagy még azt megelőzően az operátoroknak dönteniük kell, hogy milyen partnerrel kívánják felépíteni újgenerációs hálózataikat. Ha addig nem sikerül megnyugtatóan rendezni a kérdést, a kínaiak milliárdos üzletektől eshetnek el, ami megroppantani valószínűleg nem fogja a legbefolyásosabb piaci szereplőt, de megtörheti eddigi növekedési ütemét.
A cég legnagyobb európai szolgáltatópartnerei, így többek közt a Deutsche Telekom és a Vodafone Csoport már az év elején világossá tette, belső vizsgálatokat kezdeményez a Huawei berendezéseinek használatával járó biztonsági kockázatok felmérésére, illetve kész átértékelni beszállítói folyamatait. A Vodafone a vizsgálat lezárásáig leállította az új Huawei maghálózati elemek telepítését globális hálózatán, jóllehet a beszerzési folyamatokra ez nem volt hatással.