Am discutat pe acest subiect și asupra modului în care una din cele mai importante companii din domeniu se raportează la el, cu doi dintre specialiștii de vârf ai Huawei Technologies: Andy Purdy, Chief Security Officer în cadrul Huawei USA și Sergiu Zaharia, Chief Security Officer, Huawei Romania.

Ce garanții oferă Huawei la nivel global în ceea ce privește securitatea tehnologiei sale 5G?

Andy Purdy: Garantăm public și suntem dispuși să garantăm prin contracte sau acorduri la nivel de serviciu, că exercităm diligența cuvenită în ceea ce privește programul nostru de asigurare globală, ca parte a eforturilor Huawei de a furniza produse sigure și mentenanța echipamentelor sale, prin participarea de o manieră responsabilă la procesele de dezvăluire a vulnerabilităților și oferind actualizări de securitate sigure, în timp util.

Lista îmbunătățirilor de securitate adăugate 4G prin standardele 5G ale Huawei include o securitate mai puternică a interfeței aeriene (protecția integrității utilizatorului), securitatea mai mare a interconectării (protecția E2E între rețele wireless publice), o mai bună protecție a confidențialității utilizatorului (criptarea ID-urilor permanente) și un algoritm criptografic îmbunătățit (256 biți).

Ce face tehnologia Huawei 5G mai sigură sau mai puțin sigură decât concurenții săi?

A.P.: Credem că tehnologia noastră este cel puțin la fel de sigură ca cea a concurenților noștri; ca să fiu mai exact, pe lângă respectarea standardelor 5G și participarea la procesul care va genera standarde suplimentare înainte de lansarea de noi scenarii de afaceri pentru 5G (care sunt așteptate în următorii trei-cinci ani), Huawei a dezvoltat măsuri suplimentare de securitate și protocoale pentru echipamentele și tehnologia sa, dincolo de standardele de bază ale 3GPP.

Cât investește Huawei în securitatea cibernetică a tehnologiilor sale și care sunt cele mai inovatoare soluții sau abordări promovate de companie în acest sens?

A.P.: Huawei încorporează metodologii avansate de securitate cibernetică în diverse domenii de afaceri pentru a genera un sistem complet de metodologii, care acoperă securitatea ariei de cercetare-dezvoltare, securitatea lanțului de aprovizionare, securitatea serviciilor, verificarea securității și gestionarea incidentelor de securitate.

Cum ar trebui să își dezvolte România rețeaua 5G pentru a-și asigura cel mai înalt nivel de siguranță și securitate cibernetică?

A.P.: Încurajați utilizarea unor standarde și programe de conformitate recunoscute (cum ar fi standardele 3GPP 5G și NESAS pentru echipamentele de telecomunicații; și Cadrul de Securitate Cibernetică și Ghidul de Rezistență ale NIST) pentru a forța piața să promoveze o mai mare asigurare și transparență (cum ar fi prin cerințele de achiziții care iau în calcul riscurile și încurajează furnizorii de echipamente telecom să dezvolte standarde minime per industrie și bune practici pentru asigurarea conformității și transparență) și pentru a informa factorii de reglementare.

Care sunt principalele riscuri de securitate cibernetică actuale și potențiale pentru tehnologia 5G?

Sergiu Zaharia: Cert este că tehnologia 5G în sine adaugă mai multă securitate intrinsecă decât tehnologiile anterioare, ca urmare a efortului colectiv al actorilor importanți din toate părțile interesate. Cu toate acestea, fiecare concept nou necesită o bună înțelegere atât a funcționalității, cât și a opțiunilor de securitate care contribuie la reducerea riscului general.

Dacă ne uităm în mod specific la 5G, riscurile cibernetice prevalente sunt de fapt declanșate de oportunitățile aduse de această evoluție a rețelei. Vom putea folosi vehicle-to-everything (V2X, comunicarea între vehicule și receptori externi), chirurgie la distanță, realitate virtuală și realitate augmentată în timp real și să comunicăm practic fără latență peste mări și țări.

Toate aceste servicii furnizate pe rețelele 5G fixe și mobile au propriile cerințe și modele de amenințare. Evident, ca profesioniști în domeniul securității, urmăm binecunoscuta triadă – Confidențialitate, Integritate și Disponibilitate – atunci când identificăm și evaluăm riscurile în funcție de cât de vital este serviciul sau activul respectiv, probabilitatea ca un eveniment nedorit să se întâmple și gradul de expunere a țintei la amenințări cibernetice, pe care o putem numi suprafața atacurilor neasigurate.

În procesul de gestionare a riscurilor, trebuie în principal să luăm în considerare riscurile inerente care provin din implementarea ineficientă a unui concept de securitate end-to-end pentru serviciul furnizat utilizatorilor. De exemplu, atunci când V2X nu implementează securitate de încredere zero și nu beneficiază de un proces puternic de autentificare, aplicații sigure, produse rezistente și conexiuni sigure, driverele pot fi expuse riscului. Și putem extrapola mai mult la chirurgia la distanță și să ne gândim la impactul potențial.

Din fericire, standardele de securitate sectorială sunt deja în vigoare, precum cele pentru asigurarea securității cibernetice a mașinilor conectate și sunt implementate pe baza standardelor de securitate 5G deja puternice. Este nevoie de ceva timp pentru ca experții să le înțeleagă și să le aplice, cum se întâmplă cu orice tehnologie inovatoare, dar tot ceea ce avem nevoie pentru a ne asigura securitatea este deja acolo.

Cum ar trebui să își dezvolte România rețeaua 5G pentru a-și asigura cel mai înalt nivel de siguranță în ceea ce privește securitatea cibernetică?

S.Z.: Conform standardelor de securitate 5G și a cunoscutelor practici de securitate care stabilesc sistemul de management al securității pe cei trei piloni: oameni, procese, tehnologie. Nu numai de la furnizori de echipamente, ci și de la furnizorii de servicii, operatorii de telecomunicații și din întregul ecosistem, inclusiv autoritățile publice și asociațiile de securitate independente.

Pe plan tehnologic, Uniunea Europeană ar trebui să aibă un standard de securitate 5G unic pentru validarea și testarea securității produselor pe care operatorii români să-l poată implementa și să se bazeze pe posibile certificări de securitate recunoscute la nivel internațional. Guvernul ar trebui să sprijine operatorii prin intermediul agențiilor de securitate specializate și să verifice implementarea standardelor de securitate pentru componentele infrastructurii la toți furnizorii majori, inclusiv revizuirea codului sursă pentru software-ul încorporat.

În ceea ce privește dimensiunile proceselor, România trebuie să își îmbunătățească mecanismele de gestionare a situației și de gestionare a amenințărilor, prin unitățile sale operaționale din CERT RO, CERT MIL sau Cyber-INT, care ar trebui să creeze un mediu deschis cu cooperarea public-privat pentru a face față noilor tipuri de securitate. vulnerabilități și atacuri împotriva rețelelor 5G și servicii bazate pe. Am fost întotdeauna în favoarea unei astfel de cooperări și chiar am practicat în trecut ca CSO al unui important operator român. Multe creiere nu pot genera decât idei mai solide.

Și vorbind despre oameni, principalul atu al României este know-how-ul de securitate cibernetică. Beneficiem de o vastă expertiză de securitate a tinerilor entuziaști, cei din generația Mileniului, care caută mereu provocări de nivelul lor. Securizarea tehnologiilor noi și inovatoare legate de 5G poate fi cea care să îi declanșeze, să genereze idei, inovație și la final să aducă valoare pentru toți românii, nu doar securitate cibernetică.

Va avea România o rețea 5G mai sigură sau mai degrabă mai vulnerabilă, dacă Huawei nu va avea voie să ia parte la dezvoltarea sa, și de ce?

S.Z.: Categoric mai vulnerabilă. Huawei este singurul dezvoltator 5G care investește un miliard de dolari în securitate cibernetică, adică 5% din investițiile sale totale în cercetare și dezvoltare. Are peste 270 de certificări de securitate pentru produsele și soluțiile sale, oferite de cele mai renumite organizații din lume. Experții Huawei de securitate cibernetică contribuie la toate standardele majore de securitate, având 17 funcții de președinte sau vicepreședinte în organizații de standardizare. Doar pentru 3GPP, Huawei a fost cel mai important contribuabil în 2018, cu peste 251 de propuneri acceptate, iar mai nou și cu propunerea de arhitectură de securitate 5G acceptată. Acesta este un indicator al nivelului de maturitate al securității companiei și al soluțiilor sale.

Știu că autoritățile române care se ocupă de informații și securitate cibernetică în Sistemul Național de Apărare beneficiază de expertiza unor experți de înaltă calificare, care înțeleg foarte bine diferența dintre securitate cibernetică și politică. Am încredere în ei și sunt încrezător că vor aplica judecata bazată pe fapte atunci când ne vor proteja viitorul.

Cum va aborda Huawei preocupările privind securitatea tehnologiilor sale 5G pe piața locală?

S.Z.: Prin transparență, comunicare și asistență. În primul rând, invităm operatorii, organizațiile guvernamentale și profesioniștii în domeniul securității să discute despre riscurile de securitate, să dezvolte atenuări și să creeze un mediu mai sigur pentru noi toți. Pe de altă parte, avem doar în Europa trei laboratoare de transparență în care operatorii și organizațiile guvernamentale pot explora în detaliu produsele noastre și să vadă direct în codul sursă cum implementăm cele mai înalte cerințe ale standardelor de securitate. Și nu în ultimul rând, susținem implementatorii pentru a defini securitatea optimă pentru serviciile lor și pentru rețeaua de bază.

De asemenea, Huawei certifică componentele rețelelor 5G cu organizații independente, de exemplu, produsul 5G gNodeB a primit Nivelul Certificare 4+ pentru Asigurarea Criteriilor Comune din partea Centrului Național Criptologic din Spania. Această evaluare include analiza codului sursă și oferă o asigurare de securitate de încredere pentru accesul radio 5G. Pe scurt, ceea ce facem este să oferim produse sigure, vizibilitate ridicată și suport pentru o implementare E2E (Exchange-to-Exchange, interacțiunea între beneficiari și dezvoltatori) a serviciilor cibernetice puternice pentru toți clienții.

A existat vreo creștere a amenințărilor de securitate cibernetică în timpul crizei COVID-19, când traficul de date a crescut semnificativ?

S.Z.: Sigur, a fost o creștere, dar și o schimbare a metodelor și obiectivelor hackerilor. An de an, ne confruntăm cu o creștere constantă atât a numărului, cât și a impactului amenințărilor cibernetice, iar 2020 nu este diferit. Întotdeauna va exista un „subiect fierbinte” de abordat în campaniile de răspândire a spam-ului și a malware-ului, așa cum este acum cazul cu COVID-19, însă de această dată experții în securitate au avut de-a face cu o creștere de 600% a spam-ului (corespondență nedorită).

Dacă vorbim despre obiective, am văzut și în statistici că o parte importantă a hackerilor calificați a evitat să atace atât sectoarele educației, cât și sănătatea; în același timp, alte grupări au vizat sau au pregătit mai agresiv atacurile împotriva sectorului sănătății, așa cum a fost cazul PentaGuard, grupul român de hackeri arestat în mai de către DIICOT (Direcția Română de Investigare a Criminalității Organizate și Terorismului).

Pe de altă parte, potrivit Hackmageddon, un registru bine actualizat de atacuri reușite, procentul acțiunilor rău intenționate care au compromis indivizi, nu organizații direct, s-a dublat de la 12% în ianuarie la 25% din totalul atacurilor de succes în martie, ceea ce este un indicator clar al comportamentului criminalilor cibernetici de a alege cele mai ușoare ținte. Pentru a răspunde mai succint întrebării dumneavoastră, aș prefera să spun că mai mulți indivizi ca oricând, care lucrează de la distanță din medii mai puțin sigure, au devenit intermediari involuntari între ciberneticii criminali și organizațiile la care lucrează.

Articol realizat cu sprijinul Huawei Romania