Блог Ильи Сторчилова

Позиция Huawei в сфере кибербезопасности

3 Октября 2020
Распечатать

Будучи одним из крупнейших в мире производителей технологий и лидером в сфере инноваций, китайская корпорация Huawei выступает за обеспечение кибербезопасности посредством организации прозрачной цифровой среды. Потребность в обеспечении прозрачности непосредственно связанна с возросшим количеством кибератак на различные предприятия, государственные структуры и частных лиц. Привычные границы стран в цифровом пространстве не существуют, они размыты для злоумышленников. Преступные действия могут быть произведены с территории другого государства, что осложняет уголовное преследование без соответствующего уровня кооперации и доверия среди акторов.

1309155.jpg

Фото: newsbuzz.co.uk

Согласно Huawei's Position Paper on Cyber Security, опубликованному в ноябре 2019 г., проблема кибербезопасности включает в себя множество элементов, стейкхолдеров, законы и государственные механизмы. Вместе с тем на данный момент не существует единого международного документа, способного регулировать отношения в цифровом пространстве в глобальном масштабе, и в этом поле действуют лишь национальные законодательства.

Развитие информационных технологий в XXI в. становится центральным предметом для исследований. Huawei в меморандуме поднимает несколько острых вопросов: действительно ли 4G безопаснее, чем 5G? Правда ли, что разработчик ПО может дистанционно управлять устройством без уведомления пользователя? Нужна ли стандартизация безопасности или проще исключить конкретных игроков с рынка, тем самым защитив систему изнутри?

Меморандум Huawei демонстрирует, что позиция компании независимо от обстоятельств заключается в решении всех указанных вопросов путем анализа и компромисса, найденного государствами, бизнесом и другими игроками, поскольку проблема касается всех, а подход необходим ответственный.

Huawei настаивает на выработке единых стандартов в сфере кибербезопасности путем совместной работы отраслевых организаций и правительств, которые не будут сосредоточены на технологических аспектах, но применяться в равной степени ко всем. В документе также подчеркивается значимость опыта, приобретенного в сфере создания телекоммуникационных линий, и необходимость его использования для улучшения качества сетей и устанавливаемого оборудования.

Кроме того, выработка единых стандартов будет способствовать недопущению возникновения недопонимания среди сторон в процессе оценки проблемы и принятия решений.

Huawei вносит огромный вклад в систему 3GPP (Generation Partnership Project): согласно меморандуму, в 2018 г. Huawei было предложено 464 проекта в группу SA3 по обеспечению безопасности сетей 5G для участников организации (China Telecom, China Southern Power Grid, State Grid и многих других), из которых было принято 227, то есть чуть менее половины. Это достаточно высокий показатель, несмотря на западное давление на китайскую компанию в течение последних лет.

Руководство Huawei считает возможным построение максимальной защиты данных только при условии заинтересованности в первую очередь первых лиц организации, а не её сотрудников. Ниже указаны принципы Huawei по комплексной защите:

1. требования к безопасности базируются на запросах пользователей, правовых нормах и законах;

2. обеспечение кибербезопасности осуществляется на основе масштабных решений и гарантий, что это делается не разово, а на постоянной основе;

3. внедрение управления с обратной связью;

4. активное участие сотрудников в обсуждении улучшения системы кибербезопасности компании.

В позиционном документе Huawei указано, что в целях обеспечения нового подхода к архитектуре цифровой безопасности компании была запущена инициатива Cyber Security 2.0, в рамках которой есть пункты, призывающие стейкхолдеров к:

1. развитию понимания сетевых сред, выявлению и устранению угроз, а также согласованию подходов Huawei с ведущими отраслевыми практиками;

2. улучшению соблюдения существующих стандартов, законов и нормативных документов;

3. развитию подхода, в котором безопасность и её качество учитывают интересы бизнес-сектора;

4. перманентному развитию экспертных знаний и навыков;

5. созданию модели по обеспечению безопасности схожего с организацией бизнеса. Переориентации модели с контроля на её возможности и потенциал, а также на своевременную оценку и верификацию действий, разработанных для обеспечения защиты.

Политика Huawei основывается на развитии технологий и дальнейших успехах в бизнесе, соответственно, обеспечение устойчивой и надежной системы — ключевой элемент для дальнейшего процветания компании. Инновационные решения по формированию безопасной среды исходят из клиентских запросов, которые также не стоят на месте и активно растут.

В современном дискурсе появилось словосочетание «интернет вещей» (Internet of Things, IoT). Оно обозначает взаимосвязь технологий, где каждый элемент интегрирован в единую систему. Государства и компании уже активно применяют данные разработки в области электроэнергетики, банковском секторе, горнодобывающей, металлургической и других областях промышленности. Российская Федерация — не исключение.

Что касается позиции Huawei, то защиту интернета вещей планируется организовывать не изолированной системой, а формировать ее всеобъемлюще, чтобы не допускать никаких брешей. Принцип защиты IoT состоит во взаимодополняемости её элементов под названием «3T + 1M», где Т — технологии (technologies), такие как защита устройства, обеспечение сетевой безопасности и защита облачного хранилища (device defense, network security assurance, and cloud protection technologies), а М — эксплуатация и управление (operation and management).

Данные пользователей Huawei шифруются системой при помощи уникального ключа устройства (Hardware Unique Key, HUK) и пароля блокировки экрана пользователя.

Huawei призывает к использованию Схемы обеспечения безопасного сетевого оборудования (Network Equipment Security Assurance Scheme, NESAS). В меморандуме члены Huawei выступают за открытую, честную и недискриминационную проверку идентификации пользователей.

Особенность китайской компании заключается в ее транспарентности и стремлению к ней, добровольно согласившись на жесткий надзор и проверку исходного кода. Официальная позиция компании гласит, что они будут рады подписать «no spy» и «no backdoor» соглашения с правительствами государств, включая Великобританию, поскольку для корпорации важна независимость в принятии решений и ассоциация их имени с работой во благо пользователя и демонстрации прозрачности своих действий, а не связей с институтами власти. Хочется отметить, что Huawei, по всей видимости, очень гордится своим участием в быстром восстановлении сети после аварии на Фукусиме и землетрясения в Сычуане, тем самым доказывая качество оказываемых ею услуг.

Компания Huawei заявляет о себе как о наиболее открытой компании мира, так как ни одно государство или третья сторона не владеют акциями компании, соответственно, никто не может повлиять на принятие решений, кроме руководителей корпорации. Ежегодная публикация финансового отчета компании, аудит которой проводит международная сеть фирм KPMG, призвана демонстрировать прозрачность и независимость в бизнесе китайского IT-гиганта.

Обвинения Huawei

В силу обострившегося в последние годы технологического противостояния между Соединенными Штатами Америки и Китайской Народной Республикой представители бизнеса последнего терпят убытки, а также уходят с рынков в некоторых странах. К примеру, Австралия и Новая Зеландия вместе с США запретили использование оборудования китайской телекоммуникационной компании для строительства в стране сетей 5G по причине угрозы национальной безопасности. Обвинения в адрес Huawei заключаются в предполагаемом создании «бэкдора» (backdoor) в технологиях компании, посредством которых передаются данные китайской разведке, при этом фактически воруя информацию у ничего не подозревающих пользователей.

Если брать во внимание не только китайскую компанию, а взглянуть более широко, то мы увидим, что многие представители бизнес-сектора подвергаются обвинениям в утечке данных пользователей. К примеру, в сеть утекла информация о более 500 млн гостей мировой сети отелей Marriott International, это вызвало потерю престижа и доверия к компании. В 2018 г. произошел скандал, причиной которого стала информационная утечка данных десятков миллионов пользователей и последующим отключением сервиса Google+. British Airways также пострадали от потери данных клиентов в 2018 г.

Несмотря на обвинения в ее адрес со стороны Вашингтона и его союзников китайская IT-компания не была уличена ни в одном скандале, и ни одно обвинение не было подтверждено. Руководство Huawei выступала и продолжает выступать с заявлениями об отсутствии прямых контактов с Китайской Комуннистической Партией и отстаивании в первую очередь интересов пользователей продукта без передачи персональных данных в пользу правящей партии.

Схожие позиции с другими компаниями

За сотрудничество между государствами и бизнесом в регулировании цифрового пространства выступает и американская компания Facebook. Если быть точнее, то в марте 2019 г., еще до публикации меморандума Huawei, основатель социальной сети М. Цукерберг выступил с заявлением, в котором выразил необходимость защиты данных пользователей Интернета, а также более активной кооперации в области разработки киберкодекса и выработке норм. Можно сделать вывод о том, что частный сектор действительно стремится к созданию единых стандартов поведения в киберпространстве и сотрудничеству по обеспечению безопасности виртуальных границ всех участников цифровой среды.

Говоря о международных организациях, имеющих схожий взгляд на современный Интернет, стоит выделить несколько инициатив, которые были поддержаны не только Huawei, но также другими странами и компаниями.

Женевский Диалог (Geneva Dialogue), был запущен в 2018 г. для определения степени ответственности и значимости государств, гражданского общества, научных и технических сообществ, представителей частного сектора, в растущей непомерными шагами виртуальной среде. На данном этапе существования организации участники занимаются обсуждением технических возможностей для внесения рекомендаций на разные уровни, в том числе и ООН.

Консорциум Промышленного Интернета (Industrial Internet Consortium), призванный к обмену опытом для наиболее качественных изменений и сокращению технического разрыва между компаниями, существует с 2014 г. В его рядах находится 258 организаций, в числе которых китайские организации Huawei и Beijing Proudsmart Info. Technology Co., американские Microsoft и Dell, японские Mitsubishi Electric Corporation и Hitachi, российская компания Kaspersky Lab и провайдер цифровых услуг Ростелеком, а также многие университеты со всего мира, включая Томский государственный университет систем управления и радиоэлектроники.

Кроме того, Huawei подписал Парижский Призыв К Доверию и Безопасности в Киберпространстве (Paris Call For Trust and Security in Cyberspace), став при этом одним из 564 участников, сделавших шаг к сотрудничеству в цифровом мире. На сегодняшний день это наиболее активная и многочисленная группа сотрудничающих заинтересованных сторон.

Основные положения Парижского призыва:

1. Принцип коллективных действий.

2. Наращивание потенциала (кооперация между участниками для обмена знаниями и новыми практиками в области формирования защищенного киберпространства).

3. Повышенная защита (защита клиентов компаний по всему миру, не взирая на цели и причины кибератаки).

4. Принцип ненападения (компании отказываются предоставлять помощь государствам в нанесении урона посредством кибератаки, а также принятие всех необходимых мер по защите своих продуктов от злонамеренного урона).

Российская компания, работающая в области разработки защиты от киберугроз, Kaspersky Lab является партнером Huawei. Обе компании также считают важным вовлечение всех возможных стейкхолдеров в киберпространстве для конструктивной работы, а также настаивают на укреплении мер доверия среди акторов (confidence-building measures).

Что касается инициативы компании SiemensХартии Доверия (Charter of Trust), то она не была поддержана китайской ТНК. Хотя основные положения Хартии (повышение доверия в киберпространстве, пользовательско-центричная политика ведения бизнеса, принцип добровольного участия, транспарентность, перманентная модернизация для обеспечения современной защиты) сходятся с политикой Huawei, вступление отложено на неопределенный срок.

Крайстчерчский призыв (Christchurch Call) не поддержан ни одной китайской компанией, в том числе и Huawei, но с другой стороны и руководители Коммунистической партии Китая не подписались в защиту проекта по защите интернета как пространства от терроризма и экстремизма. Возможно, дело в политическом противоречии, исходящем от инициатора организации — Новой Зеландии и Франции. Если со второй у Huawei нет никаких споров, лишь желание Э. Макрона защищать стратегические интересы французских предприятий, то Веллингтон выступил открыто с запретом оборудования Huawei, как уже было упомянуто ранее. К Крайстчерчскому призыву присоединились девять компаний, большинство из которых американские, остальные подписанты — государства, Совет Европы и ЮНЕСКО.

Роль Huawei

Суммируя всё вышесказанное, мне видится важным напомнить о роли Huawei в развитии технологий. Очевидно, что, согласно позиционному документу, компания отводит важнейшее значение достижению прозрачности в цифровой среде и построению безопасности в киберпространстве. Выступая с инициативами к подписанию «no-spy» и «no-backdoor» соглашений, руководители корпорации делают шаг навстречу единомышленникам. Huawei обладает большими финансовыми возможностями и клиентской базой в 170 странах мира, хотя позиции компании пошатнулись после запрета со стороны США, но уже к сентябрю 2020 г. она представила новые решения.

Бизнес может помочь правительствам в вопросе принятия единого киберкодекса, поскольку кибербезопасность в основе своей — не только политическая, но и техническая проблема. Чтобы обезопасить цифровую среду критически важно действовать сообща всем заинтересованным стейкхолдерам.

Поделиться статьей

Прошедший опрос

  1. Как вы оцениваете угрозу от нового коронавируса и реакцию на него?
    Реакция на коронавирус гипертрофирована и представляется более опасной, чем сам вирус  
     369 (43%)
    В мире всё ещё недооценивается угроза вируса — этим и объясняется пандемический характер распространения заболевания  
     277 (32%)
    Реакция на коронавирус адекватна угрозе, представляемой пандемией COVID-19  
     211 (25%)
Бизнесу
Исследователям
Учащимся