Huawei Analyst Summit 2019: 'La sicurezza resti un fatto tecnico e non politico'

Huawei Analyst Summit 2019: 'La sicurezza resti un fatto tecnico e non politico'

La posizione dei Ken Hu - Deputy Chairman di Huawei - è chiara in merito. La sicurezza è innanzitutto una questione tecnica e tecnologica e tale dovrebbe rimanere. Ogni giudizio dovrebbe attenersi al merito e restare oggettivo. Nel momento in cui diventa una questione politica e aperta al 'sentimento' può creare un ambiente minaccioso e può essere pericoloso, oltre ad elevare i costi del fare innovazione. Questa la voce di Huawei dall'Analyst Summit 2019

di pubblicata il , alle 11:21 nel canale Security
Huawei
 

La parola sicurezza è stata al centro del Huawei Analyst Summit 2019 di Shenzhen. Nei keynote, nelle sessioni di domande&risposte e nelle round table i giornalisti e gli analisti presenti da tutto il mondo hanno affrontato con le loro domande la questione del rigetto dei prodotti Huawei dai piani per lo sviluppo del 5G di paesi come gli USA da diverse angolazioni. La posizione dei Ken Hu - Deputy Chairman di Huawei - è chiara in merito. 'La sicurezza è innanzitutto una questione tecnica e tecnologica e tale dovrebbe rimanere. Ogni giudizio dovrebbe attenersi al merito e restare oggettivo. Nel momento in cui diventa una questione politica e aperta al 'sentimento' può creare un ambiente minaccioso e può essere pericoloso, oltre ad elevare i costi del fare innovazione'. Un approccio basato su standard condivisi e trasparenza è quello che Hu auspica ed è quello che Huawei sta cercando di perseguire ormai dal 2010, quando ha aperto il suo primo Huawei Cyber Security Evaluation Centre nel Regno Unito. Alla guida di esso c'è John Suffolk, GSPO - Global Cybersecurity and Privacy Officer - dell'azienda, che ha affrontato giornalisti e analisti in una sessione di domande&risposte. La sua posizione è esattamente la stessa di Hu, ma nella chiacchierata c'è stato più tempo per approfondire la questione.

"Sappiamo che in certi ambiti i riflettori sono puntati su di noi per il semplice fatto di essere cinesi" - ha detto Suffolk - "Lo sappiamo e andiamo avanti con il nostro approccio: se i clienti si fidano di noi (e la nostra crescita lo testimonia) vuol dire che stiamo lavorando bene, soprattutto sul tema della sicurezza. Sono gli operatori che gestiscono le reti, noi gli forniamo semplicemente gli strumenti hardware e software e sono essi in prima persona interessati al fatto che le reti siano sicure e inattaccabili. Poi pensateci: in un qualsiasi apparato Huawei ci sarà circa il 30% di componenti hardware e software prodotti direttamente dall'azienda, il resto è fatto da partner, compresi quelli statunitensi, ad esempio Microsoft. E prendete invece i prodotti delle aziende concorrenti, come Ericsson e Nokia. Molti di essi sono prodotti in Cina allo stesso modo dei nostri, eppure nessuno se ne preoccupa o ne fa un caso".

Proprio dall'arrivo di Suffolk in azienda il tema della sicurezza è stato al sempre al centro della ricerca e sviluppo di Huawei. Il giorno precedente all'inizio dei lavori dell'HAS2019 ho avuto l'occasione di visitare l'ICSL, l'Indipendent Cyber Security Lab, ospitato da Huawei in uno dei siti di produzione e ricerca a Shenzhen. Si tratta di un laboratorio creato dall'azienda che lavora in modo completamente indipendente dai team di ricerca e sviluppo dei prodotti commerciali e da cui passa ogni componente prodotto da Huawei. Ognuno viene passato ai raggi X per quanto riguarda la sicurezza, da un lato per quello che riguarda l'aderenza ai diversi standard e alle certificazioni e dall'altro a tutta una serie di test di penetrazione da parte di minacce generiche, opportunistiche, mirate e avanzate. Ogni riga di codice viene passata al setaccio, utilizzando suite automatizzate commerciali, strumenti open source e con tool creati direttamente dagli ingegneri di Huawei per particolari esigenze e situazioni.

Ogni test (mi è stato mostrato un progetto sul quale erano stati compiuti più di 40.000 analisi) contribuisce alla stesura di un report dettagliato, fino a 500 pagine, che alla fine appone il timbro 'GO' o 'NO GO' sul prodotto. Il primo è un'approvazione al lancio commerciale, il secondo mette nelle mani del GSPO John Suffolk il diritto di veto (e quindi anche la responsabilità) alla commercializzazione del prodotto. Durante la fase di test può anche capitare che i prodotti vengano rigettati e rimandati alla ricerca e sviluppo per essere modificati. Il laboratorio risponde direttamente al GSPO, il quale riporta al CEO, senza che siano possibili pressioni dalla produzione per 'chiudere un occhio' su qualche falla.

L'ICSL è nato come una piccola struttura di 5 persone nel 2013 e ora conta più di cento persone. I suoi controlli di sicurezza e aderenza agli standard si sommano e vengono dopo quelli della ricerca e sviluppo dei prodotti commerciali della struttura Huawei e, in pratica, operano come un vero e proprio double-check di sicurezza su ogni prodotto dell'azienda. L'approccio è quello che John Suffolk ha ribadito più volte durante l'incontro coi giornalisti: "Voglio che più gente possibile metta fisicamente le mani sul codice. Più occhi sono meglio di un singolo paio e, inoltre, diverse persone hanno differenti percezioni del rischio. Solo un lavoro corale può essere veramente una base sicura". Durante l'incontro con Suffolk si è parlato molto anche della sicurezza dei componenti open-source. "Il dibattito è molto animato da diversi anni sul tema" - ha dichiarato Suffolk - "Da un lato c'è chi considera le componenti open source più sicure, appunto perché tutto è sotto gli occhi di tutti. L'importante è che almeno qualcuno si sia preso la briga di analizzare a fondo tutto il codice. Potenzialmente l'open source offre per questo motivo più sicurezza, ma il mio approccio è quello di non fidarmi di nessuno e chiedo ai miei team di fare altrettanto e di passare al setaccio ogni riga di codice". Un codice privato, su cui solo l'azienda proprietaria può mettere le mani potrebbe essere più soggetto a sviste, per questo noi facciamo firmare un accordo di trasparenza ai nostri fornitori: devono segnalarci immediatamente ogni vulnerabilità che venga scoperta".

Queste sono quindi le carte che Huawei mette sul piatto parlando di sicurezza e per difendersi dalle accuse degli statunitensi. Come ha fatto notare qualche giornalista durante questi giorni, la sicurezza è certamente un fatto in prima battuta puramente tecnico, ma i temi della cyber warfare portano la questione anche sul livello geopolitico. "Il fatto che i governi impongano nuovi stardard e policy è molto positivo" - dice Suffolk - "L'importante è che tali decisioni siano basate su fatti e non su dicerie o sentimenti. Apprezzo molto, ad esempio, lo sforzo fatto dall'Unione Europea sul tema della sicurezza e della privacy dei dati".

Parlando informalmente in questi giorni coi colleghi giornalisti di diverse parti del mondo sul tema della sicurezza, uno dei temi che emerge più spesso è il fatto che a volte la gente sia pronta a puntare il dito scandalizzata verso un'ipotetica e non provata backdoor lasciata aperta da qualche produttore, magari utilizzando un social network, loggandosi con il proprio account e i propri dati personali utilizzando un rete Wi-Fi pubblica, sia essa quella dell'aeroporto o quella che si chiama McDonald's, ma che in realtà di McDonald's magari proprio non è.

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supertigrotto17 Aprile 2019, 12:07 #1

Quel che penso?

Penso che la lotta USA contro Huawei mi ricorda la guerra del golfo,ovvero iniziata per armi chimiche che non sono mai state trovate ma che hanno dato la scusa agli USA di mettere le manine sulle concessioni petrolifere (alias indennizzi di guerra) e su appalti per la ricostruzione.Da diversi articoli che ho letto in giro,Huawei lascia ai suoi clienti la possibilità di analizzare hardware e software liberamente,quindi di scovare eventuali backdoor che potrebbe usare lo spaventoso e spione governo cinese.
Mi pare solo una strategia per limitare i danni della concorrenza cinese ai danni delle aziende americane.
Huawei è una multinazionale,se si scoprisse che lavora con il governo cinese per spiare gli altri stati,non solo scoppierebbe una mezza terza guerra mondiale ma,non venderebbe più nemmeno uno spillo al di fuori del mercato cinese.
Non credo che Huawei sia così masochista da darsi una martellata sugli attributi.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^