Гонка Huawei за скоростью обернулась проблемами с безопасностью

Время чтения: 3 мин
Источник изображения: Shawn Koh/Fortune

(автор заметки — Элиза Гкрици)

Несмотря на высокий уровень развития телекоммуникационных сетей Европы, безопасность только недавно стала центральной темой обсуждения, заявил TechNode Пол Сканлан, главный технический директор компании Huawei Carrier Group, на форуме Fortune Tech в Гуанчжоу. Отвечая на вопрос о прошлых ошибках Huawei в области кибербезопасности, он сказал, что акцент компании на инновациях и скорости внёс в них значительный вклад.

В прошлом Huawei была ориентирована на инновации и быстрый переход к производству, и не понимала необходимости соблюдать определенные правила безопасности, связанные с архитектурными особенностями, заявил Скэнлан в ответ на доклад британского Совета по надзору за Huawei о нахождении «скрытых дефектов» в программном обеспечении компании.

— Если клиент хочет добавить функцию, мы не можем перепроектировать весь продукт, потому что это было бы слишком медленно, сказал он. Вместо этого, Huawei добавляет модуль поверх существующего кода, — продолжил Скэнлан.

Со временем такие методы разработки привели к некоторым «архитектурным особенностям», которые Совет счёл нежелательными, особенно учитывая всё большую изощрённость хакеров, заявил он. — Теперь мы [Huawei] понимаем, что такие вещи важны, — добавил Скэнлан.

В марте прошлого года Совет рассмотрел программное обеспечение Huawei и обнаружил «значительное несоблюдение основных методов написания безопасного кода, в том числе в собственных внутренних стандартах Huawei». Это в том числе подавление предупреждений от инструментов статического анализа и использование устаревшей операционной системы сторонних производителей.

Совет — это британское подразделение Huawei, работающее под бдительным присмотром британских властей.

Никаких бэкдоров

Важно то, что «не было найдено никаких бэкдоров», — заявил Сканлан, повторяя заявление Huawei сразу после выхода отчёта. Huawei инвестировала $2 млрд в «создание наилучших тестов, процессов и ключевых показателей эффективности, ориентированных на разработку надежного программного обеспечения», — сказал он.

Эта так называемая «трансформационная программа» была анонсирована Huawei в ноябре 2018 года. Три месяца спустя в отчете Совета говорилось, что она остается «предложенным первоначальным бюджетом для пока ещё не указанных мероприятий», что не дает властям уверенности в способности Huawei её реализовать.

Сканлан также заявил, что компания — это единственный поставщик оборудования, который сталкивается с таким пристальным вниманием, и что в прошлом она передавала свой код для инспекции в Великобритании и в меньшей степени в Германии. По словам Сканлана, это единственная компания, которая была вынуждена пойти на такие меры.

Но в сети «вы настолько уязвимы, насколько уязвимо ваше самое слабое звено. Если у вас есть несколько поставщиков, и вы тщательно изучаете только Huawei, это не имеет смысла, — заявил он.

— Реальная проблема заключается в том, что безопасность впервые обсуждается на глобальном, правительственном уровне, — заявил Сканлан. По его словам, во время развертывания 3G и 4G подобные дискуссии о безопасности сетей отсутствовали.

— Сейчас эти дискуссии ведутся по всему миру, и в них участвуют все — поставщики, операторы, правительства. За исключением США, есть много подобных дискуссий, — заявил он.

Европейские регуляторы работают вместе с отраслевыми игроками над созданием общей системы безопасности, которую смогут согласовать все государства-члены. Все поставщики оборудования консультируются с ними, — сказал Сканлан.