Intervju: Yoann Klein, viši savjetnik za cyber sigurnost, Huawei
Huawei nije imao većih cyber sigurnosnih incidenata u procesu saradnje s više od 500 pružalaca telekomunikacijskih usluga, uključujući većinu od 50 najvećih telekom-operatera. Takva je situacija bila u proteklih skoro 20 godina u 170 zemalja, u kojima je povezano više od 3 milijarde ljudi. Nijedan drugi proizvođač ne može reći da je postigao ovaj nivo uspješnosti u cyber sigurnosti
Razgovarao: Damir Muharemović
E-mail: redakcija@asadria.com
a&s Adria: Gospodine Klein, možete li se predstaviti našim čitaocima, s naglaskom na vašu poziciju u Huaweiju?
Klein: Magistarski studij iz telekomunikacija i računarstva završio sam na IMT Lille Douaiju, građevinskoj školi u sjevernom Parizu. Prije Huaweija skoro 15 godina sam radio u velikim evropskim cyber kompanijama kao što su Airbus i Thales. Sve vrijeme sam preuzimao ulogu tehničkog autoriteta i vodio cyber inžinjerske timove koji rade u raznim kritičnim okruženjima poput odbrane, javne sigurnosti, aeronautike, svemira i transporta. Sada sam viši savjetnik za kibernetičku sigurnost u Huaweijevom Centru za cyber sigurnost i transparentnost u Briselu. Član sam našeg Globalnog ureda za cyber sigurnost i privatnost (GSPO), koji nadgleda razvoj i provedbu Huaweijevog cjelovitog sistema osiguranja kibernetičke sigurnosti, što uključuje praćenje i poboljšanje svih aspekata informacijske sigurnosti u globalnom opskrbnom lancu kompanije, uz upravljanje postupkom pouzdane isporuke.
a&s Adria: Vaš Centar za cyber sigurnost i transparentnost bavi se sigurnošću 5G mreže i IoT-a. Koje vrste poslova to podrazumijeva?
Klein: Centar je svoja vrata otvorio u martu 2019. On pruža platformu za unapređenje komunikacije i zajedničkih inovacija sa svim interesnim stranama, javnim i privatnim. Također, našim kupcima pruža tehničku platformu za verifikaciju i evaluaciju. Otvorenost, saradnja i transparentnost su tri riječi koje pokreću ovu inicijativu. Otvorenost u prikazivanju naših cyber sigurnosnih praksi, od strategija i lanca opskrbe do istraživanja i razvoja, kroz prezentacije, videozapise, demonstracije Huaweijevih proizvoda i rješenja u područjima kao što su 5G, IoT, cloud itd. Saradnja, jer organizujemo namjenske stručne radionice i konferencije s ključnim zainteresovanim stranama (organizacijama, regulatorima, državnim vlastima itd.) o sigurnosnim praksama kako bismo istražili i promovisali razvoj standarda, mehanizama provjere i tehnoloških inovacija u cyber sigurnosti. I na kraju, transparentnost, jer pružamo platformu za testiranje i provjeru nivoa sigurnosti naših proizvoda kupcima i nezavisnim laboratorijima. To uključuje testna okruženja metodama tzv. crne i bijele kutije (s pristupom izvornom kodu). U Briselu možemo istovremeno izvoditi pet takvih projekata.
a&s Adria: Radna grupa SA3, u okviru organizacije Projekat partnerstva 3. generacije (3GPP), održala je 2018. sedam sastanaka. Pri tome su 74 kompanije poslale svoje tehničke stručnjake da prisustvuju sastancima s ciljem formulisanja 5G sigurnosnih standarda. 3GPP SA3 grupa je analizirala 5G prijetnje i rizike u 17 oblasti. Koje su to oblasti, kao i najveće prijetnje i rizici povezani s njima?
Klein: U okviru 3GPP grupe za tehničke specifikacije usluga i sistema (TSG SA) kao glavni ciljevi radne grupe 3GPP TSG SA WG3 (SA3) navedeni su definisanje zahtjeva i arhitekture, kao i protokola za sigurnost i privatnost u 3GPP sistemima. Kako bi se što kvalitetnije ispunili ovi ciljevi, definisano je i ispitano više oblasti: sigurnosna arhitektura (1), autentifikacija (2), sigurnosni kontekst i upravljanje ključevima (3), sigurnost radijske pristupne mreže (RAN) (4), sigurnost u NG-UE (5), autorizacija (6), privatnost prijavljivanja (7), sigurnost dijeljenja mreže (8), zaštita odašiljača (9), sigurnost mrežne domene (10), sigurnosna vidljivost i konfigurabilnost (11), osiguravanje akreditiva (12), međusobno povezivanje i migracija (13), mali podaci (14), zaštita emitovanja / višestrukog slanja (15), sigurnost upravljanja (16) i kriptografski algoritmi (17). Među ovih 17 domena vrlo je teško definisati jednu oblast koja je rizičnija od drugih. One se prilikom procjene cyber rizika ne mogu, i ne trebaju tretirati kao nezavisne. Potencijalna prijetnja ili manjak sigurnosti u jednoj može direktno ili indirektno utjecati na druge. Ipak, ako moram odabrati jednu, navest ću onu koju već godinama promovišem u raznim industrijama, a to je važnost balansiranja zaštite i detekcije. Zbog svega toga mislim da oblast “vidljivosti i konfigurabilnosti” ima najveću važnost kada su u pitanju funkcije detekcije integralnih sistema.
a&s Adria: Je li 5G siguran? Kako stručnjaci iz industrije i organizacija za standardizaciju mogu osigurati da se sigurnosnim rizicima povezanim s 5G tehnologijom može efikasno upravljati u smislu sigurnosnih protokola i standarda i mehanizama provjere sigurnosti?
Klein: Kako rekoh, mnoge visokostručne zainteresovane strane, kao što su regulatori, proizvođači, operateri, akademsko osoblje, bile su uključene u definisanje 5G standarda i nastavljaju rad na dolazećim 3GPP standardima. Oni su doprinijeli postizanju visokog nivoa sigurnosti za definisanje 5G specifikacija. Ovakav saradnički pristup bio je inspiracija i prilikom kreiranja sistema provjere sigurnosti mrežne opreme (NESAS). Riječ je o okviru za kontrolu sigurnosti koji je dobro poznat u mobilnoj industriji. Globalno se koristi kao sigurnosna osnovica i uključuje zajedničke zahtjeve za sigurnosne procjene mrežne opreme i procjenu dobavljača telekomunikacijske opreme. NESAS pruža potrebne alate za osiguranje efikasnog testiranja i provjera. To je zajednički projekat organizacija 3GPP SA3 i GSMA, a uključuje i procjene na osnovu standarda za 5G sigurnost koje su dio sigurnosne provjere specifikacija (SCAS). Evaluaciju proizvoda vrše kompetentne laboratorije za ispitivanje sigurnosti koje su akreditovane u skladu s ISO 17025. Zbog toga smo u Huaweiju jako ponosni na činjenicu da smo u decembru 2020. mogli objaviti da smo uspješno prošli prvu SCAS reviziju za 5G i LTE bazne stanice (reviziju koju je obavilo nezavisno tijelo DEKRA). To se desilo nakon uspješnog prolaska prve NESAS revizije na svijetu za 5G baznu stanicu koju je u maju 2020. uradio @sec.
a&s Adria: Većina prijetnji i izazova 5G sigurnosti istovjetna je onima s kojima se suočavala 4G tehnologija. No, treba uzeti u obzir sigurnosne izazove koje nove usluge, arhitekture i tehnologije nose na 5G mrežama. Tu, naprimjer, spadaju autentifikacija pristupa za nezavisne pružaoce usluga dijeljenja, dijeljenje mreže, arhitektura zasnovana na uslugama (SBA), sigurna upotreba računarskih resursa, posebno u uvjetima šire primjene arhitekture oblaka u 5G svijetu i utjecaj novih tehnologija kao što je razvoj kvantnog računarstva. Možete li na jednostavan način opisati ove nove izazove?
Klein: S jedne strane, tačno je da 5G mreža nasljeđuje sigurnosnu arhitekturu 4G mreže. Kao i prethodna generacija, 5G pristupne i jezgrene mreže imaju jasne granice, međusobno se povezuju putem standardnih protokola, podržavaju interoperabilnost različitih proizvođača i posjeduju mehanizme zaštite utemeljene na standardima. S druge strane, nesporno je i da će nove usluge i vidovi primjene donijeti nove izazove. Zato su dodatne mjere sigurnosti definisane i precizirane u 3GPP standardu. Ukratko, kao ključna poboljšanja u vezi s novim izazovima želim istaći četiri: (1) veća sigurnost bežičnog interfejsa koja nudi zaštitu integriteta korisničkih podataka. To ide u kombinaciji s postojećim šifriranjem korisničkih podataka u 2G, 3G i 4G mrežama, (2) naprednija zaštita privatnosti korisnika prenošenjem korisničkih ID-jeva (IMSI) u šifriranom tekstu u odnosu na 2G, 3G i 4G mreže, kod kojih se ove informacije prenose bežičnim putem u običnom tekstu, (3) veća sigurnost roaminga između operatera, pri čemu se napadače sprečava da iskorištavaju slabosti SS7 i neovlašteno manipulišu osjetljivim podacima (kao što su npr. ključ, korisnički ID i SMS), koji se razmjenjuju između osnovnih mreža različitih operatera, te (4) poboljšani kriptografski algoritmi s podrškom za 256-bitne algoritme, koji su dovoljno otporni na buduće napade kvantnim kompjuterima.
a&s Adria: Zašto je Huaweijev 5G siguran? Koje je tehničke prakse vaša kompanija primijenila kako bi garantovala da je njena oprema sigurna od hakerskih napada?
Klein: Prije svega želim naglasiti da navodi u medijima usmjereni protiv Huaweija nisu povezani s našim tehničkim pristupom ili načinom na koji rješavamo pitanje cyber sigurnosti prilikom dizajniranja i razvoja naših proizvoda. Huawei nije imao većih incidenata u pogledu cyber sigurnosti dok je sarađivao s više od 500 pružalaca telekomunikacijskih usluga, uključujući većinu od 50 najvećih telekom-operatera. Takva je situacija bila u proteklih skoro 20 godina u 170 zemalja, u kojima je povezano više od 3 milijarde ljudi. Nijedan drugi proizvođač ne može reći da je postigao ovaj nivo uspješnosti u cyber sigurnosti. Možemo čista srca reći da je Huawei danas kompanija koja je pod najvećom prismotrom na svijetu. Zbog toga se gotovo opsesivno bavimo strogim pravilima koja smo donijeli za svoje zaposlenike, dobavljače i razvojne procese. To je zato što, za razliku od drugih, shvatamo da bi nam došao kraj ako bi se desio ijedan sigurnosni incident koji bi uključio Huawei.
Konkretno, u Huaweiju su istraživanje i razvoj fokusirani na sigurnost tokom razvoja proizvoda, uz pridržavanje principa sigurnosti ugrađene u dizajn i sigurnosti u procesu. Aktivnosti na planu cyber sigurnosti ugrađene u ovaj proces izvode se uz strogo praćenje usklađenosti tokom cijelog životnog ciklusa proizvoda. To znači da se sigurnosni zahtjevi mogu implementirati u svakoj fazi. Istraživanje i razvoj u Huaweiju osigurava postupak integrisanog razvoja proizvoda (IPD). To se radi s ciljem usmjeravanja razvoja cjelovitog (E2E) proizvoda u skladu s industrijskim sigurnosnim praksama i standardima kao što su OWASP-ov model provjere sigurnosti softvera (OpenSAMM), sistem jačanja sigurnosti kroz provjeru zrelosti tehnologije (BSIMM), Microsoftov životni ciklus razvoja sigurnosti (SDL) i Okvir za cyber sigurnost američkog Nacionalnog instituta za standarde i tehnologiju (NIST CSF), kao i zahtjevi korisnika i država u pogledu cyber sigurnosti.
Mehanizmi sigurnosne provjere
a&s Adria: Pristup “mnogo očiju i ruku” doprinosi većoj sigurnosti vaše opreme?
Klein: Naravno. U Huaweiju smo usvojili mehanizam sigurnosne provjere u stilu “mnogo očiju i ruku”. Osim sigurnosnih testova linija proizvoda, uspostavili smo i Nezavisni laboratorij za cyber sigurnost (ICSL), koji je nezavisan od sistema za istraživanje i razvoj. On je odgovoran za konačnu provjeru proizvoda. Rezultati testa direktno se šalju Globalnom uredu za cyber sigurnost i privatnost (GSPO), koji ima pravo veta na slanje proizvoda na tržište. Program testiranja i verifikacije koju provode nezavisna tijela realizuje se uz saradnju klijenata i industrijskih regulatora. Zato smo radi još veće transparentnosti otvorili testne centre u Velikoj Britaniji, Njemačkoj, Briselu i Kanadi kako bismo omogućili nezavisno testiranje Huaweijeve opreme, sve do nivoa izvornog koda. Mi vjerujemo u standarde cyber sigurnosti i objektivnu procjenu zasnovanu na činjenicama i dokazima.
a&s Adria: Kako osigurati 5G opremu od cyber napada, uključujući Huaweijevu podršku za cyber zaštitu i preporuke o načinu instalacije i upravljanja 5G mrežama na siguran način?
Klein: Huawei se zalaže za zaštitu povjerljivosti, integriteta, dostupnosti, sljedivosti i privatnosti korisnika 5G opreme na bazi 3GPP sigurnosnih standarda. Osim toga, kompanija zagovara i saradnju s operaterima u kreiranju visokog stepena cyber otpornosti na mrežama iz perspektive upravljanja i održavanja (O&M). Naprimjer, da bi se ubrzao oporavak usluge u slučaju da se desi sigurnosni incident, tehnički dizajn mora ponuditi kontinuirano praćenje i reagovanje na incidente tako da se njihov opseg utjecaja i prateći gubitak usluge mogu svesti na minimum. Huawei kao proizvođač koristi IPDRR metodologiju, koja se bazira na identificiranju, zaštiti, otkrivanju, odgovoru i oporavku, a u skladu s NIST CSF okvirom za cyber sigurnost. Metodologija se koristi za identifikaciju i kontrolu ključnih rizika u mrežnim uslugama i jačanje cyber otpornosti operatera. Korištenjem IPDRR metodologije, Huawei može pomoći operaterima koji pružaju kritičnu informacijsku infrastrukturu da kvalitetnije ispune regulatorne zahtjeve u pogledu cyber sigurnosti. Osim mrežne sigurnosne arhitekture, potreban je i sveobuhvatan i siguran skup pravila koje operateri moraju slijediti kako bi upravljali O&M nivoom upravljanja i održavanja. On je presudan u kontroli rizika na cijeloj mreži. Zato se za svaki zadatak u ovom segmentu moraju primjenjivati stroga sigurnosna pravila, s nultom tolerancijom na greške tokom obrade tokova podataka.
a&s Adria: Kako kontinuirano poboljšavati nivo sigurnosti 5G mreže iz perspektive različitih zainteresovanih strana kako bi se riješili budući izazovi?
Klein: 5G postaje stvarnost, koja će trajati još dugo. Na osnovu iskustva u 4G sigurnosti mogu kazati da se kontrola rizika 5G mreže može postići zajedničkim naporima svih industrija. Moramo kontinuirano unapređivati sigurnosna rješenja tehnološkim inovacijama i graditi sigurne sisteme i mreže kroz standarde i saradnju ekosistema. Kao proizvođači i dobavljači, trebali bismo nastaviti doprinositi radu industrijskog sigurnosnog standarda, usklađivati proizvodnju sa standardima i integrisati sigurnosne tehnologije. Nakon toga, operateri su odgovorni za sigurno poslovanje i otpornost vlastitih mreža na cyber napade. 5G mreže su privatne. Granice između različitih mreža su jasne. Operateri mogu spriječiti vanjske napade pomoću firewalla i sigurnih gatewaya. Kada je riječ o internim prijetnjama, operateri mogu upravljati, nadzirati i revidirati sve dobavljače i partnere kako bi sve elementi njihove mreže učinili sigurnim. Na kraju, kao industrija, svi moramo raditi na standardima. Ovo je naša zajednička odgovornost. Da bismo izgradili sistem u koji svi možemo vjerovati, trebaju nam definisane odgovornosti, jedinstveni standardi te jasna i nediskriminatorna regulativa.
a&s Adria: Nedavno ste kao predavač na Virtual Security Summitu spomenuli nekoliko velikih sigurnosnih izazova s kojima se suočavamo u domenu razvoja softvera, među kojima je i potreba za standardom za siguran razvoj. Je li Evropski zakon o kibernetičkoj sigurnosti postavio dobre temelje za to?
Klein: Mislim da svi, kao ICT industrija, moramo raditi zajedno kako bismo unaprijedili svoju cyber sigurnost i digitalnu otpornost. Samo zajedničkim radom i koordinacijom napora na evropskom nivou, ali i šire, možemo se uspješno nositi s budućim prijetnjama. Industriji nedostaje jedinstven set tehničkih standarda za sigurnost, a stanje je isuviše fragmentirano. I zato vjerujem da nedavni evropski Zakon o kibernetičkoj sigurnosti može i hoće donijeti jasnu dodatnu vrijednost na ovom polju. Donošenjem GDPR-a Evropa je već pokazala da, kada se postigne konsenzus država članica, ona može utrti put globalno prihvaćenim sigurnosnim pravilima i smjernicama. Štaviše, Agencija Evropske unije za cyber sigurnost (ENISA) također je temeljitim i sveobuhvatnim publikacijama, kao što je “Dobre prakse za sigurnost IoT-a – siguran životni ciklus razvoja softvera”, koja je objavljena u novembru 2019. godine, pokazala da posjeduje stručnost da vodi industriju kada je u pitanju siguran razvoj softvera.
Povjerenje se temelji na činjenicama
a&s Adria: Šta je Huawei učinio na polju transparentnosti nivoa cyber sigurnosti svoje opreme i rješenja?
Klein: Povjerenje je osjećaj. Ali kada je u pitanju cyber sigurnost, i povjerenje i nepovjerenje trebaju se temeljiti na činjenicama, a ne na osjećajima, nagađanjima i neutemeljenim glasinama. Vjerujemo da činjenice moraju biti provjerljive, a provjera mora biti zasnovana na standardima. Zbog toga je Huawei otvorio Centar za transparentnost cyber sigurnosti u Briselu. Ovo je dobar i konkretan primjer kako podižemo nivo transparentnosti. Našim kupcima i nezavisnim laboratorijama dajemo pristup našem izvornom kodu i omogućavamo im da ocjenjuju naša rješenja koristeći vlastite alate, osoblje i procese. Transparentnost je neophodna jer je u osnovi pouzdanosti. Historija ICT industrije pokazala je da nejasnost u pogledu sigurnosti nikada nije bila pravi izbor. U Huaweiju vjerujemo da postojimo da bismo služili našim kupcima i oni imaju pravo da zahtijevaju i zaslužuju visok nivo transparentnosti.
a&s Adria: Prema Vašem mišljenju, softverska industrija ulaže snažne napore u certificiranje proizvoda, ali ne i u procjenu samog procesa. Kako možemo balansirati između to dvoje i zašto je evaluacija procesa podjednako važna?
Klein: Ne kažem da softverska industrija ne evaluira sam proces, već da je količina napora uložena u certificiranje proizvoda i procjenu procesa nejednaka. Očigledan način da se to promijeni je da se u sadašnjim i budućim standardima jača dio evaluacije razvojnog procesa. Ne treba izmišljati toplu vodu. Već postoje smjernice poput BSIMM-a ili SDLC-a. Zapravo sam vrlo zadovoljan kad vidim da Evropski zakon o kibernetičkoj sigurnosti uključuje procjenu procesa. Još jedan dobar primjer je NESAS, koji obuhvata evaluaciju nekih ključnih procesa (naprimjer, kako riješiti ranjivosti koje se pojavljuju tokom životnog ciklusa proizvoda). Izazov je kako izbjeći dodavanje dodatnog tereta ionako velikim zahtjevima vezanim za certificiranje. No, optimističan sam jer vjerujem da evaluiranje i eventualno jačanje pouzdanosti u razvojnim procesima može pomoći u smanjenju napora za ponovnu certifikaciju.
a&s Adria: Treće strane moraju igrati ključnu ulogu u omogućavanju sigurnog razvoja, budući da su partner ne samo na kraju već i tokom procesa razvoja proizvoda. Kako je Huawei ovo implementirao kroz svoj integrisani razvoj proizvoda (IPD)?
Klein: Pravilno prikupljanje povratnih informacija neophodno je za plodnu saradnju. Jedna od naših osnovnih vrijednosti je rast pogonjen akumuliranim iskustvom i promišljanjem. Zbog toga je dijeljenje i razmjena informacija s trećim stranama tokom cijelog razvoja proizvoda i prihvatanje izazova od vitalnog značaja. To potiče naš kontinuirani proces usavršavanja. Konkretno, u našem IPD-u imamo namjenski proces koji nazivamo “upravljanje zatvorenom petljom”. Iskorištavanje povratnih informacija podrazumijeva i primjenu adekvatnog modela upravljanja. Kombinovani pristup od vrha prema dolje i odozdo prema gore je najefikasniji način za uspješno korištenje povratnih informacija trećih strana. Kao primjer rezultata, prije nekoliko godina smo pokrenuli novi program softverskog inžinjeringa. Uspostavili smo kontinuiran i konstruktivan dijalog sa zainteresovanim stranama kako bismo shvatili kako možemo dodatno unaprijediti razvoj softvera, a sada te promjene primjenjujemo u našoj organizaciji.
