El último informe de un organismo de supervisión del Reino Unido establecido para evaluar el enfoque de la seguridad del gigante chino de redes Huawei ha puesto a prueba la presión sobre la compañía, lo que hace una evaluación condenatoria de lo que describe como "defectos graves y sistemáticos" en su competencia de ingeniería de software y seguridad cibernética .
Aunque el informe no llega a exigir una prohibición total de los equipos de Huawei en las redes domésticas, la opción del presidente de los Estados Unidos, Trump, sigue colgando en el estanque.
El informe, preparado para el Asesor de Seguridad Nacional del Reino Unido por la Junta de Supervisión del Centro de Evaluación de Seguridad Cibernética de Huawei (HCSEC, por sus siglas en inglés), también identifica nuevos "problemas técnicos importantes" que, según dice, llevan a Nuevos riesgos para las redes de telecomunicaciones del Reino Unido utilizando el kit de Huawei.
El HCSEC fue creado por Huawei en 2010, bajo lo que la junta de supervisión considera como “un conjunto de acuerdos con el gobierno del Reino Unido”, para proporcionar información a las agencias estatales sobre sus productos y estrategias para que se puedan evaluar los riesgos de seguridad.
Y el año pasado, bajo la presión de las agencias de seguridad del Reino Unido preocupadas por las deficiencias técnicas en sus productos, Huawei se comprometió a gastar $ 2BN para tratar de abordar las preocupaciones de larga duración sobre sus productos en el país.
Sin embargo, el informe arroja dudas sobre su capacidad para abordar las preocupaciones del Reino Unido, y el consejo escribió que "todavía no ha visto nada que le dé confianza en la capacidad de Huawei para completar con éxito los elementos de su programa de transformación que ha propuesto como un medio para abordar estos defectos subyacentes ”.
Entonces, parece que $ 2BN no será suficiente para solucionar el problema de seguridad de Huawei en un solo país europeo.
La junta también escribe que requerirá una "evidencia sostenida" de una mejor "calidad" de ingeniería de software y seguridad cibernética, verificada por HCSEC y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, si existe la posibilidad de que llegue a una evaluación diferente de La capacidad de la empresa para reiniciar sus credenciales de seguridad.
Si bien otra evaluación condenatoria contenida en el informe es que Huawei no ha realizado ningún progreso significativo en las cuestiones planteadas en el informe del año pasado.
Todas las cuestiones identificadas por el proceso de evaluación de la seguridad se relacionan con la "competencia de ingeniería básica y la higiene de la seguridad cibernética", que el consejo señala genera vulnerabilidades susceptibles de ser explotadas por "una variedad de actores".
Agrega que el NCSC no cree que los defectos encontrados sean el resultado de la interferencia del estado chino.
El informe de este año es el quinto que la junta de supervisión ha producido desde que se estableció en 2014, y llega en un momento de gran escrutinio para Huawei, ya que los despliegues de la red 5G están aumentando a nivel mundial, lo que obliga a los gobiernos a abordar las sospechas vinculadas a los chinos. gigante y considere si confiar en ella con la infraestructura crítica de próxima generación.
"La Junta de Supervisión informa que será difícil administrar adecuadamente los futuros productos en el contexto de las implementaciones en el Reino Unido, hasta que se remedien los defectos subyacentes en la ingeniería de software y los procesos de seguridad cibernética de Huawei", advierte el informe en una de varias conclusiones clave que Hacer la lectura muy incómoda para Huawei.
"En general, la Junta de Supervisión solo puede proporcionar una garantía limitada de que todos los riesgos para la seguridad nacional del Reino Unido derivados de la participación de Huawei en las redes críticas del Reino Unido pueden mitigarse lo suficiente a largo plazo", agrega en resumen.
Alcanzado por su respuesta al informe, un portavoz de Huawei en el Reino Unido nos envió una declaración en la que describe los $ 2BN destinados a mejoras de seguridad relacionadas con los productos del Reino Unido como un "presupuesto inicial".
Escribe:
El 2019 OB [oversight board] El informe detalla algunas inquietudes sobre las capacidades de ingeniería de software de Huawei. Entendemos estas preocupaciones y las tomamos muy en serio. Los problemas identificados en el informe OB proporcionan información vital para la transformación continua de nuestras capacidades de ingeniería de software. En noviembre del año pasado, la Junta Directiva de Huawei emitió una resolución para llevar a cabo un programa de transformación en toda la empresa destinado a mejorar nuestras capacidades de ingeniería de software, con un presupuesto inicial de US $ 2BN.
Se ha desarrollado un plan de alto nivel para el programa y continuaremos trabajando con los operadores del Reino Unido y el NCSC durante su implementación para cumplir con los requisitos creados como nube, digitalización y software definido. Todo se vuelve más frecuente. Para garantizar la seguridad continua de las redes de telecomunicaciones globales, la industria, los reguladores y los gobiernos deben trabajar juntos en estándares más altos para la evaluación y el aseguramiento de la seguridad cibernética.
Al buscar algo positivo para salvar el impacto del informe, Huawei sugiere que demuestre la efectividad continua de la HCSEC como una estructura para evaluar y mitigar el riesgo de seguridad, marcando una descripción en la que el consejo escribe que es "posiblemente el más duro y riguroso de la mundo ", y que según Huawei muestra que al menos no ha habido ningún incrementar en la vulnerabilidad de las redes del Reino Unido desde el último informe.
Aunque el informe identifica nuevos problemas que generan nuevos problemas, si bien los problemas subyacentes probablemente también estuvieron allí el año pasado, simplemente quedaron por descubrir.
La severa evaluación de la junta ciertamente aumenta la presión sobre Huawei, que ha estado combatiendo agresivamente la sospecha liderada por los Estados Unidos de su kit, afirmando en un discurso en una conferencia de telecomunicaciones el mes pasado que "la acusación de seguridad de los Estados Unidos de nuestro 5G no tiene pruebas", por ejemplo.
Al mismo tiempo, ha sido atractivo para la industria trabajar en conjunto para crear procesos colectivos para evaluar la seguridad y la confiabilidad del kit de red.
Y a principios de este mes abrió otro centro de transparencia de seguridad cibernética, esta vez en el corazón de Europa en Bruselas, donde la compañía ha estado presionando a los responsables de formular políticas para ayudar a establecer estándares de seguridad para fomentar la confianza colectiva. Aunque hay pocas dudas de que es un juego largo.
Mientras tanto, los críticos de Huawei ahora pueden señalar que la impaciencia está aumentando en el Reino Unido, a pesar de los comentarios del jefe de la NCSC, Ciaran Martin, el mes pasado, quien dijo que las agencias de seguridad creen que el riesgo de usar el kit de Huawei se puede manejar, sugiriendo el gobierno no presionará para una prohibición absoluta.
El informe no revierte literalmente esa visión, pero sí genera una advertencia muy fuerte y alarmante sobre la dificultad para que los operadores del Reino Unido "apropiadamente" gestionen los riesgos de lo que es el kit de Huawei defectuoso y vulnerable. Incluyendo señalar el riesgo de productos futuros, lo que el consejo sugiere será cada vez más complejo de administrar. Todo lo cual podría empujar a los operadores a buscar alternativas.
En el frente de mitigación, la junta escribe que, “in extremis”, el NCSC podría ordenar a Huawei que realice correcciones específicas para los equipos actualmente instalados en el Reino Unido. Aunque también advierte que tal paso sería difícil, y podría, por ejemplo, requerir un reemplazo de hardware que podría no coincidir con los ciclos de actualización y gestión de activos "naturales" de los operadores, enfatizando que no ofrece una solución sostenible a los problemas técnicos subyacentes.
"Dada la falta de buenas prácticas de ingeniería de software y seguridad cibernética y la trayectoria actualmente desconocida de los procesos de investigación y desarrollo de Huawei a través de su plan de transformación anunciado, es muy probable que la gestión de riesgos de seguridad de los productos que son nuevos en el Reino Unido o las nuevas versiones importantes de software. para los productos que actualmente se encuentran en el Reino Unido será más difícil ", escribe la junta en una sección final que discute el riesgo de seguridad nacional del Reino Unido.
"Sobre la base del trabajo ya realizado por HCSEC, el NCSC considera que es muy probable que haya nuevos problemas de ingeniería de software y seguridad cibernética en los productos que HCSEC aún no ha examinado".
También describe la cantidad y la gravedad de las vulnerabilidades más los problemas de arquitectura y construcción descubiertos por un equipo relativamente pequeño en el HCSEC como "una preocupación particular".
"Si un atacante tiene conocimiento de estas vulnerabilidades y acceso suficiente para explotarlas, es posible que pueda afectar el funcionamiento de la red, lo que en algunos casos hace que deje de funcionar correctamente", advierte. "Otros impactos podrían incluir la posibilidad de acceder al tráfico de usuarios o la reconfiguración de los elementos de la red".
En otra sección sobre la mitigación de los riesgos de usar el kit de Huawei, la junta observa que los "controles arquitectónicos" implementados en la mayoría de los operadores del Reino Unido pueden limitar la capacidad de los atacantes para explotar cualquier elemento de red vulnerable que no esté explícitamente expuesto a la Internet pública, agregando que dichos controles, Combinado con buenos opsec en general, "seguirá siendo de importancia crítica en los próximos años para gestionar los riesgos residuales causados por los defectos de ingeniería identificados".
En otros aspectos destacados del informe, la junta tiene algunas cosas positivas que decir, escribiendo que una revisión técnica de NCSC de sus capacidades mostró mejoras en 2018, mientras que otra auditoría independiente de la capacidad de HCSEC para operar independientemente de la sede de Huawei, una vez más, encontró que resultados de prioridad media ".
“El informe de auditoría identificó un hallazgo de baja calificación, relacionado con la entrega de información y equipo dentro de los Acuerdos de Nivel de Servicio acordados. Ernst & Young concluyó que no había preocupaciones importantes y la Junta de Supervisión está satisfecha de que HCSEC está operando en línea con los acuerdos de 2010 entre HMG y la compañía ”, señala.
El mes pasado, el Comisario europeo dijo que se estaba preparando para intervenir y garantizar un "enfoque común" en toda la Unión Europea en lo que respecta a la seguridad de la red 5G, advirtiendo sobre el riesgo de fragmentación en el mercado único. Aunque hasta ahora ha evitado cualquier prohibición.
A principios de esta semana, emitió un conjunto de recomendaciones para los Estados miembros, combinando medidas legislativas y políticas para evaluar los riesgos de seguridad de la red 5G y ayudar a fortalecer las medidas preventivas.
Entre las medidas operativas que sugiere los Estados miembros se encuentran complete una evaluación de riesgo nacional de las infraestructuras de redes 5G para finales de junio de 2019, y continúe actualizando los requisitos de seguridad existentes para los proveedores de redes, incluidas las condiciones para garantizar la seguridad de las redes públicas.
"Estas medidas deben incluir obligaciones reforzadas de los proveedores y operadores para garantizar la seguridad de las redes", recomienda. “Las evaluaciones y medidas de riesgo nacionales deben considerar diversos factores de riesgo, como los riesgos técnicos y los riesgos relacionados con el comportamiento de los proveedores u operadores, incluidos los de terceros países. Las evaluaciones de riesgo nacionales serán un elemento central para construir una evaluación de riesgo coordinada de la UE ".
A nivel de la UE, la Comisión dijo que los Estados miembros deberían compartir información sobre la seguridad de la red, diciendo que "el trabajo coordinado debería apoyar las acciones de los Estados miembros a nivel nacional y proporcionar orientación a la Comisión para posibles pasos adicionales a nivel de la UE", dejando la puerta abierta para nuevas medidas.
Si bien el cuerpo ejecutivo de la UE no ha presionado para que se prohíba a los proveedores de 5G en toda la UE, reafirmó el derecho de los Estados miembros a excluir a las empresas de sus mercados por razones de seguridad nacional si no cumplen con sus propios estándares y marco legal.
Source link