'Si parli di sicurezza basandosi su test certificati e indipendenti e non solo su chiacchiere', Huawei risponde al nuovo ban di Trump

Anche quest'anno il Huawei Analyst Summit è stato l'occasione per il colosso cinese per mettere qualche puntino sulle 'i' in tema sicurezza. Recentemente l'amministrazione statunitense guidata dal presidente Donald Trump ha rinnovato per altri 12 mesi l'ordine esecutivo che vieta alle aziende americane di svolgere business con chi rappresenta un rischio per la sicurezza nazionale, Huawei in testa, aggiungendo al carico anche misure volte a tagliare fuori il produttore cinese dall'approvvigionamento di chip, con una norma che dispone ai produttori esteri di semiconduttori che fanno uso di software o tecnologie americane nelle loro operazioni di produzione, di ottenere una licenza rilasciata dalle autorità americane per poter vendere i propri prodotti a Huawei. Queste norme si basano sull'assunto che Huawei e i suoi prodotti possano rappresentare un pericolo di sicurezza per gli Stati Uniti.

Nel suo summit dedicato agli analisti e ai media specializzati Huawei ha voluto quindi nuovamente parlare di sicurezza, essendo la situazione rispetto al 2019 non solo non migliorata, ma addirittura peggiorata alla luce delle recenti decisioni di Trump. "Si parli di sicurezza basandosi su test certificati, indipendenti e di terze parti e non solo su chiacchiere" questo in sintesi il pensiero di Bob Xie, Cyber Security Officer di Huawei per l'Europa occidentale e direttore del Cyber Security Transparency Centre di Brussels. Per parlare di cybersecurity Huawei ha organizzato una tavola rotonda di esperti del settore, accanto ai CSO WUE e USA di Huawei Bob Xie e Andy Purdy, hanno infatti preso la parola il professor Chris Mitchell del Royal Holloway, University of London, e Jon France, Head of Industry Security della GSMA.

Una fiducia basata su test standardizzati

La costruzione della catena della fiducia tra produttori, fornitori, operatori e clienti, deve basarsi su standard condivisi per poter essere efficace, questo uno dei punti chiave del discorso del Prof. Mitchell, a cui hanno fatto eco le parole di France, che han mostrato in dettaglio alcune delle procedure di revisione sul tema sicurezza della GSMA e del 3GPP, come le procedure di valutazione Security Assurance Methodology (SECAM) del 3GPP, recepite dalla GSMA nel suo Network Equipment Security Assurance Group (NESAG). Queste procedure mirano a creare una serie di SeCurity Assurance Specifications (SCAS) su cui poter valutare prodotti, servizi e reti in base a standard condivisi e verificabili da terze parti.

"La valutazione del livello di sicurezza di prodotti e servizi deve basarsi su questo tipo di analisi, non sul sentito dire" - ha nuovamente sottolineato Bob Xie - "E in questo senso Huawei ha ricevuto diverse approvazioni importanti". L'ultima in termini di tempo è recentissima ed è arrivata proprio nei giorni in cui Trump ha deciso di rinnovare il ban per il produttore cinese. ERNW, fornitore indipendente di servizi di sicurezza IT basato in Germania, ha infatti condotto una revisione tecnica del codice sorgente per il gateway distribuito unificato (UDG) sulle reti core 5G di Huawei. Il test si è concentrato sulla qualità del codice sorgente, sui processi di generazione del codice e sulla gestione del ciclo di vita dei componenti open source, con risultati rassicuranti sotto tutti i fronti.

L'anno scorso nei giorni dell'HAS 2019 avevo avuto l'occasione di visitare l'ICSL, l'Indipendent Cyber Security Lab, ospitato da Huawei in uno dei siti di produzione e ricerca a Shenzhen, laboratorio di test che opera in modo indipendente dalla produzione e fa riferimento direttamente al GSPO - Global Cybersecurity and Privacy Officer - , il quale a sua volta riporta direttamente al CEO di Huawei, con la possibilità di bloccare progetti in cui la sicurezza e la privacy non raggiungano i livelli richiesti.

Il compito dell'ICSL è quello di passare ai raggi X per quanto riguarda la sicurezza tutti i prodotti e servizi della ricerca e sviluppo, da un lato per quello che riguarda l'aderenza ai diversi standard e alle certificazioni e dall'altro a tutta una serie di test di penetrazione da parte di minacce generiche, opportunistiche, mirate e avanzate. Anche ogni riga di codice viene passata al setaccio, utilizzando suite automatizzate commerciali, strumenti open source e con tool creati direttamente dagli ingegneri di Huawei per particolari esigenze e situazioni.

Il ruolo trainante dell'Europa

Anche in questo incontro è stato ripreso il tema della standardizzazione globale delle tecnologie di telecomunicazione, già toccato nell'intervento del rotating CEO di Huawei Guo Ping nei giorni scorsi, un tema sempre più importante al crescere della complessità e interconnessione delle reti. Il 5G è riuscito finalmente nel progetto di unificare sotto un unico cappello le tecnologie per le telecomunicazioni mobili e iniziative divisorie come quella degli Stati Uniti sono un pericolo alla sicurezza, aveva detto Guo Ping.

L'Europa in questo senso sta assumendo un atteggiamento guida nella creazione di standard unificati sul tema della sicurezza e della privacy: il regolamento GDPR ha dato una spinta positiva a tutto il settore e il suo approccio è stato ricalcato a livello globale da diversi Paesi, ma l'Europa sta lavorando già al prossimo passo, con la definizione da parte dell'European Union Agency for Network and Information Security (ENISA) di un cybersecurity-certification framework unificato per i 27 paesi dell'Unione. "Si tratta di un passo molto importante" - ha sottolineato Bob Xi; oggi ogni nazione ha le sue metodologie di test per ottenere le certificazioni, un approccio unificato su tutto il territorio europeo va nella direzione di una semplificazione, ma anche di un maggiore livello di sicurezza. Lo schema operativo dovrebbe essere definito entro la fine del 2021.