Interviu cu Sergiu ZAHARIA | Cyber Security Officer | Huawei Technologies Romania
Tensiunile dintre declarațiile Ambasadei SUA la București și replicile oficiale din partea Huawei România au creat numeroase semne de întrebare în rândul societății civile, dar mai ales în media de specialitate, care nu pot concepe intruziuni ale politicului și serviciilor speciale, ale organismelor de forță în cadrul unei industrii de vârf, cum este cea a ICT. În România, tehnologia a fost neutră din punctul de vedere al furnizorilor, al țării de proveniență sau a soluțiilor implementate. Acest conflict a prins industria ICT de la noi între doi mari parteneri, unul tradițional, China, cu vechi relații de prietenie, și SUA, un lider în forță foarte activ în zona exprimării vocale a unor puncte de vedere provocatoare. Acesta este contextul întrebărilor de mai jos ale revistei COMUNICAŢII Mobile…
Cum ați colaborat cu Guvernul român în Grupul de lucru pe 5G, cum au fost întâmpinate argumentele și propunerile Huawei? În cadrul asociațiilor profesionale, dar și al autorităților parlamentare, ați avut aceeași abordare colaborativă?
Mi-ar fi plăcut să vorbim astăzi despre o astfel de colaborare, similară celei din Germania, motorul economiei Uniunii Europene, unde autoritatea federală de securitate, împreună cu reglementatorul sectorului de telecomunicații, au dezvoltat alături de operatorii și producătorii de tehnologii, emițând apoi din nou spre consultare, un document de aproximativ 80 de pagini cu cerințe tehnice, menite să asigure securitatea infrastructurilor de telecomunicații și a serviciilor bazate pe acestea.
Grupul de lucru 5G din România nu a cooptat parteneri din ecosistemul reglementat, deși a implica un grup de experți tehnici care dețin și operează infrastructurile actuale de comunicații sau a implica inginerii care produc echipamente și tehnologii din sfera 5G nu poate decât să aducă un plus de claritate și viziune asupra viitorului cibernetic al României. Acești specialiști fie operează infrastructuri și fac permanent managementul incidentelor de securitate, fie elaborează și implementează în mod activ standarde de securitate pentru echipamentele și conceptele moderne, de tipul celor specifice 5G, sau a celor asociate mașinilor interconectate, a dronelor sau rețelelor feroviare inteligente.
Noi așteptăm momentul în care Grupul de lucru 5G devine ceva mai transparent și invită operatorii, producătorii și asociațiile profesionale la dezvoltarea unor cerințe clare, tehnice, menite să asigure securitatea unei dimensiuni importante a viitorului nostru digital.
De ce credeți că motivația ”Securității cibernetice”, un subiect extrem de versatil, este invocată acum în România în legătură cu afacerile Huawei în țara noastră? În realitate, care este abordarea riscurilor de securitate în cadrul Huawei România referitor la implementarea soluțiilor 4G și 5G?
Aș începe prin a saluta faptul că securitatea cibernetică reprezintă un subiect important pe agenda autorităților. Comunitatea de specialiști aștepta de mult ziua în care să fie inclusă în procesul de management, putând să își prezinte îngrijorările și să propună strategii de securitate aliniate traiectoriei organizațiilor acestora.
Discuțiile geo-politice, portate și la noi din diferite zone geografice, nu sunt tocmai domeniul meu de expertiză, însă ce pot spune este că Huawei România își doreste o colaborare reală și deschisă cu agențiile statului și cu clienții pentru a elimina orice îngrijorare cu privire la securitatea produselor sale. Există centre de transparență în care specialiștii, atât cei guvernamentali cât și cei ai clienților sau din mediul academic, pot verifica în mod amănunțit toate produsele pe care aceștia le dețin sau pe care și le doresc, până la nivel de cod sursă. Îi invităm din nou să beneficieze de această deschidere.
Aș adăuga faptul că procesele de dezvoltare a produselor utilizate în cadrul infrastructurilor de comunicații, precum 4G sau 5G, sunt printre cele mai verificate și auditate din lume, cele peste 270 de certificări de securitate pe multiple standarde internaționale, dintre care amintim Common Criteria, NESAS sau FIPS 140, confirmând nivelul de încredere pe care operatorii telecom, clienții noștri, îl cunosc deja. La nivel de proces, pot spune că nu este ușor să lucrezi în R&D-ul nostru, deoarece trebuie să respecți un uriaș pachet de cerințe, plecând din faza de design, în care stabilești cerințele de securitate și în care faci analize de tip “threat modelling”, mergând în fazele scanărilor statice și dinamice de cod efectuate de un laborator independent, apoi prin teste de penetrare și fuzzere, până la acceptanța și dreptul de veto al CSO global. Dacă detaliez doar modul în care se definesc în faza de design cerințele de securitate, pot scrie o întreagă lucrare de licență. Toate standardele de securitate cunoscute, cerințele colectate în timp de la client, sau legile în vigoare și proiectele de lege cunoscute pe întreg globul sunt luate în calcul.
Și am vorbit doar despre produse, însă o abordare holistică a securității 4G și 5G presupune un întreg sistem de management al securității la nivelul operatorilor alături de unul complementar al celor care operează elemente din industriile verticale. Produsele sunt doar o mică parte a ecosistemului de securitate cibernetică. Pe lângă toate acestea, după cum aminteam cu circa 7-8 ani în urmă în cadrul unor conferințe de specialitate, este nevoie de structuri practice, funcționale, interconectate de tip CERT, publice sau private, atât la nivel sectorial cât și la nivel de organizații majore, prin care riscurile de securitate emergente să fie analizate timpuriu și reduse prin colaborare directă, cu toate măsurile aferente de anonimizare a țintelor. Exemplificând pe domeniul 4G/5G, un model practic pentru adresarea riscurilor asupra mașinilor interconectate, de exemplu, ar putea include organizații de răspuns la incidente de securitate cibernetică și de evaluare a amenințărilor, care să colaboreze cu adevărat: CERT RO cu rol de coordonare la nivel național, TELCO CERT pentru operatori, AUTOMOTIVE CERT pentru producătorii de pe piața auto, și echipe PSIRT de produs ale producătorilor de tehnologie de rețea, inclusiv de tip “sidewalk”. Este încă mult de lucru în această direcție și mi-aș dori să văd pași concreți în crearea unor astfel de mecanisme de colaborare între experți tehnici.
Care sunt, de fapt, adevăratele amenințări la adresa securității cibernetice la nivel internațional, dar și la noi, prin prisma expertizei Huawei? Putem să vorbim de o nouă ”cortină informațională” de această dată între Est și Vest?
Cele mai importante amenințări sunt încă cele tradiționale, pentru combaterea cărora nu există astăzi suficient personal. Vorba lui Eminescu: “Vreme trece, vreme vine, / Toate-s vechi şi nouă toate”.
Citeam mai deunăzi un articol cu privire la subiectivitatea rapoartelor unor companii specializate în soluții de securitate cibernetică, ce afirmă că acuratețea statisticilor cu privire la spectrul amenințărilor ar fi undeva la maxim 20%, din două motive: unul legat de promovarea subiectivă a anumitor produse sau tehnologii noi de securitate pe piață și al doilea legat de atractivitatea acestor rapoarte pentru cititori. Studiul afirmă că se prezintă în proporție mai mare atacurile care sunt legate de concepte noi, inovatoare, în dauna celor tradiționale, plictisitoare, deși proporția lor este cel putin inversată.
Pe undeva poate fi adevărat: în experiența mea profesională am avut de-a face cu multe tipuri de incidente majore, dar nici unul legat de Inteligența Artificială, Realitatea Augmentată sau Cryptomonede. Marea majoritate a incidentelor exploatează vulnerabilități cauzate de implementarea sau operarea deficitară a unor aplicații, sisteme ori rețele: un atac de tip “modem highjacking” este posibil datorită unei parole slabe setate pe echipamente, la fel cum o scurgere de date sensibile este în general posibilă datorită lipsei unor mecanisme simple de control al accesului, a criptării sau a identificării fluxurilor de date confidențiale prin intermediul unor tehnologii cunoscute drept Data Loss Prevention. O “igienă” de securitate trebuie să fie soluția cea mai la îndemână, ce previne peste 99,9% din atacurile de succes. O parte din măsuri sunt chiar similare celor de natura sanitară, aplicate pe durata pandemiei: izolare, segmentarea mediilor, interacțiuni reduse la minimum (de exemplu, limitarea serviciilor pe un server sau pe un router).
Dacă vorbim, însă, de infrastructuri critice sau care implementează servicii inovatoare cu impact, precum cryptomonedele, trebuie să adăugăm un strat de măsuri ce vizează atacurile țintite specializate, iar soluția este implementarea standardelor și cerințelor de securitate specifice ariilor respective, cum ar fi în cazul de față utilizarea unor semnături electronice multiple pentru validarea tranzacțiilor de valoare mare sau utilizarea unor “cold wallets” (similar depozitelor bancare, fără acces extern) care ar fi prevenit poate atacul în care Coincheck a pierdut o sumă de bani cu nouă digiți. Astfel de standarde sau ghiduri de securitate sunt dezvoltate de comunități care agregă experți din sectoare de activitate complementare.
Ca să răspund la întrebarea a doua, îmi doresc să nu existe o astfel de cortină informațională, pentru că în acest mod am avea mai puține standarde consistente de securitate, iar nivelul de încredere în tehnologiile viitorului, precum și nivelul de adoptare a acestora, vor scădea considerabil.
O societate deschisă duce la minți deschise și beneficii pe măsură.
Ca unul dintre actanții majori în industria ICT din România, care sunt relațiile de guvernanță corporativă dintre Huawei și statul român: CSAT, Parlament, Guvern (B2G), corporații (B2B), mediul asociativ și presă (B2M)?
Huawei România este unul dintre cei mai importanți contributori ICT la bugetul României, având circa 2.200 de angajați, din care 1.700 sunt români. Avem o colaborare importantă cu furnizori de servicii și produse de pe piața locală, ca parte integrantă a ecosistemului B2B. Relațiile cele mai importante sunt cele din zona de business și tehnologie, pe care Huawei le-a dezvoltat de circa 18 ani, de când a intrat pe piața locală. Suntem membri ai asociațiilor de profil, cu care cooperăm pentru a crea un mediu de business predictibil, stabil și deschis competiției.
Ne dorim o colaborare activă cu instituțiile statului responsabile cu reglementarea infrastructurilor de telecomunicații și de cloud, sau cu preocupări în inteligența artificială și securitate cibernetică. În momentul de față, nu există însă o comunicare bi-direcțională directă cu aceste instituții, iar o participare activă a întregii comunități de experți ar fi doar benefică României.
Din perspectiva implementării unei securități cibernetice sporite, cum vedeți o îmbunătățire a decalajelor economice în România și cum poate Huawei să acționeze în aceste direcții extrem de sensibile, care sunt trecute de statul român în cadrul amenințărilor la securitatea națională și decise de către CSAT?
Este clar că avem nevoie de investiții în infrastructura de comunicații de generație nouă, care să permită dezvoltarea țării noastre în paralel cu economiile moderne europene. Cu cât dezvoltăm mai rapid o piață competitivă și liberă în zona aceasta, cu atât mai mult reducem decalajele interne și externe ale României.
O companie globală de tehnologie poate contribui în mod activ cu experți în domenii tehnologice de vârf, de la tehnologii avansate de comunicații până la cele asociate cu industriile verticale. În plus, două procente din întregul personal R&D al Huawei lucrează pe domeniul securității cibernetice, dublu față de media globală, în condițiile în care personalul R&D se apropie de 100 de mii, agregând experți din zeci de țări. O astfel de expertiză trebuie utilizată la maxim de instituțiile responsabile cu securitatea digitală a țării. Noi rămânem deschiși și transparenți pentru un astfel de parteneriat.
Care sunt cele mai mari semne de întrebare la care nu vi s-a răspuns încă din partea autorităților române și din ce cauză credeți că se întâmplă aceasta?
Am o singură întrebare: dacă se percepe un risc inerent de securitate, de ce nu îl definim și remediem împreuna cu operatorii, autoritățile și producătorii, pe baza încrederii pe care participanții la piața de telecomunicații au dezvoltat-o cu noi în aproape 20 de ani de prezență în România?
