Nemrég írtunk róla, hogy a kisebbfajta botrányt okozott Hollandiában, hogy a Huawei állítólag tíz évvel ezelőtt lehallgathatta egy holland távközlési szolgáltató ügyfeleit – köztük az akkori holland miniszterelnököt is. Rafal Jaczynskit, a Huawei közép- és kelet-közép-európai és északi országok regionális kiberbiztonsági igazgatóját kérdeztük, hogy szerinte mennyire megalapozottak a vádak.

Mennyire igazak a kémkedéssel kapcsolatos vádak? A Huawei szerint hamisak. Meg tudja ezt erősíteni technikai szinten?

Teljesen hamisak, és senki, akinek tudomása van az ügyről, nem szolgáltat semmilyen bizonyítékot, és nem is vádol minket semmiféle kötelességszegéssel. Ebben a konkrét esetben, amit Hollandiáról nemrégiben közzétettek, az alkalmazottaink az ügyfelünk irányítása alatt, az ügyfél telephelyén és az ügyfél berendezésein dolgoztak. Tehát a KPN – az ügyfelünk – a legalkalmasabb arra, hogy nyilatkozzon ebben a kérdésben. És már meg is tették, mondván, hogy „a KPN egyetlen beszállítója sem rendelkezik jogosulatlan, ellenőrizetlen és korlátlan” hozzáféréssel a hálózatokhoz és rendszerekhez, illetve nem képes lehallgatni a KPN ügyfeleit vagy betekinteni a lehallgatási információkba. Az évek során sohasem tapasztaltuk, hogy a Huawei ellopta volna a hálózatainkból vagy az ügyfélrendszereinkből az ügyféladatokat, vagy hogy azokat lehallgatták volna.

„Lehet, hogy a Huawei ártatlan, de a bennfentes fenyegetés erős” – mondta az incidensről Alan Woodward professzor, a Surrey Egyetem munkatársa. Ön mit gondol erről a megjegyzésről? A Huawei telefonok ilyen szempontból fenyegetést jelentenek a felhasználókra nézve?

Egyetértek azzal, hogy a Huawei ártatlan, a bennfentes fenyegetés pedig erős fenyegetés, de nem vagyok biztos benne, hogy a megjegyzést hogyan kell értenem a tárgyalt témával összefüggésben. A bennfentes fenyegetést az üzemeltetők kezelik – a hálózatukhoz való hozzáférési jogosultságok ellenőrzésével és a harmadik fél által küldött minden egyes parancs nyomon követésével –, valamint a beszállítók, mint mi magunk, hogy biztosítsuk, hogy a termékeink hálózataihoz, adataihoz, fejlesztéséhez, gyártásához vagy raktározásához hozzáférő minden pozíciót megfelelő képesítéssel és képzéssel rendelkező, biztonsági szempontból ellenőrzött emberek töltsenek be.

Ami a telefonjainkat illeti… A mobilplatform biztonsága a hardver, a szoftver és a gyártó vagy szolgáltató üzleti modelljének biztonságán múlik. A mi telefonjaink jelenleg biztonságosabbak, mint sok más, a piacon kapható telefon, és hamarosan a legbiztonságosabb kereskedelmi telefonok lesznek. Hadd magyarázzam el.

Először is, zászlóshajó-készülékeinket a saját chipkészleteink hajtják, amelyek nem szenvednek a Checkpoint kutatói által tavaly a Qualcomm Snapdragon chipjeiben felfedezett több mint 400 sebezhetőségtől – amelyek világszerte több mint 3 milliárd embert tettek ki annak a veszélynek, hogy telefonjaikat kémkedő eszközzé alakítják át anélkül, hogy a felhasználó beavatkozása szükséges lenne. Ezek a sebezhetőségek olyan súlyosak, hogy a kutatók a mai napig nem hajlandóak a teljes technikai részleteket közzétenni.

Másodszor, a telefonjainkat jelenleg Androidon futtatjuk, az ő szoftverjük pedig ugyanolyan biztonságos, mint a legtöbb más telefoné. De aztán alig két hónap múlva kiadjuk saját operációs rendszerünket okostelefonokhoz, a HarmonyOS-t – a mikrokernel Common Criteria EAL5+ minősítésével valóban az intelligens kártyák biztonságának területére lépünk a telefonjainkkal. Mi is egy olyan cég vagyunk, amely az eladásra szánt termékek előállítására összpontosít, nem várjuk el a vásárlóinktól, hogy a magánéletükkel fizessenek a termékeinkért, nincs szükségünk és motivációnk arra, hogy gyűjtsünk és monetizáljuk a felhasználók személyes adatait. Tehát hardver, szoftver és adatvédelem… mindezeket tekintve biztonsági előnnyel rendelkezünk.

Ha nincs semmilyen fenyegetés, akkor miért választotta 2019-ben a KPN a svéd Ericsson céget, hogy az 5G infrastruktúrájához szükséges eszközöket biztosítsa, a rivális Huawei helyett? Szintén ezt tette az Egyesült Királyságban a BT 2020-ban, miután a kormány megtiltotta a hálózati szolgáltatóknak, hogy Huawei termékeket használjanak.

Ennek geopolitikai okai vannak, és semmi köze a Huawei megbízhatóságához. A legfrissebb dell'Oro kereskedelmi piackutatás szerint még mindig a világ távközlési berendezések piacának egyik vezetője vagyunk, piaci részesedésünk több mint kétszerese a legközelebbi riválisunkénak. És növekszik…

Milyen intézkedésekre vagy nyilatkozatokra számíthatunk a Huaweitől, hogy teljesen tisztára mossa a nevét?

Hiszem, hogy a végén mindig az igazság győz, ezért nem a beszédre koncentrálunk, hanem mindenekelőtt hagyjuk, hogy termékeink, szolgáltatásaink és tetteink beszéljenek helyettünk. Már most is mi vagyunk a legátláthatóbb vállalat az iparágban, még a forráskódunk felülvizsgálatát is lehetővé tettük. Emellett nem sajnáljuk az erőforrásokat és az erőfeszítéseket sem, hogy javítsuk termékeink és szolgáltatásaink biztonságát – miközben beszélünk, már látjuk a 2 milliárd dollár értékű szoftverbiztonsági fejlesztési programunk első eredményeit. Nekünk már nem elég, ha olyan jók vagyunk, mint a társaink… a vezetéssel felelősség is jár, és mi készen állunk és hajlandóak vagyunk arra, hogy az iparág biztonsági és adatvédelmi mércéjévé váljunk.

Mi várható a jövőben, hogy hasonló esetek ne fordulhassanak elő?

Jó, hogy eddig nem történt semmilyen incidens, ezért ezt a helyzetet meg kell őriznünk.

A távközlési biztonság csapatjáték – a hálózatüzemeltetőknek, a beszállítóknak és a kormányoknak, a végfelhasználóknak együtt kell játszaniuk a játékot. És senki sem kerülheti el a felelősségét.

Először is, a beszállítóknak fokozniuk kell a szakértelmüket, hogy csökkentsék a sebezhetőségek számát, az üzemeltetőknek pedig meg kell nehezíteniük a sebezhetőségek kihasználását, és ha betörnek, észre kell venniük, reagálniuk és helyre kell állítaniuk. Nem igazán számít, hogy a sebezhetőségek honnan származnak, a messzi Nyugatról vagy a messzi Keletről, vagy hogy szándékosan vagy néhány hiba eredményeként jöttek létre. Ami számít, az az, hogy ezeket a sebezhetőségeket, ha léteznek, ki lehet és ki is fogják használni.

Másodszor, minden beszállítónak nemcsak a legmagasabb szintű szabványoknak megfelelő megoldásokat kell kínálnia, hanem fokozott ellenőrzési és átláthatósági elvárásoknak is alá kell vetnie magát. Ahogy mi is tesszük.

Az üzleti életben az eredmények bizonyításához profitot kell felmutatni. A biztonság bizonyításához pedig a megfelelő kódrendszerre van szükség. Ha a Huawei képes erre, akkor az Ericsson, a Nokia, a Cisco vagy a Samsung számára nincs mentség, hogy ezt ne tegye. Elvárnám, hogy az iparág kövesse a legjobb gyakorlatot, és olyan bevett biztonsági tanúsítási és ellenőrzési rendszereket kövessen, mint a NESAS vagy a Common Criteria.

A kormányoknak is van szerepük – cselekedniük kell, de nem utólagosan és nem politikai megközelítéssel. Technikai elvárások felállításával. Ösztönzéssel. Szerepek kijelölésével a kiberbiztonsági ökoszisztémában. Ma a kormányok nagyrészt lemondtak a kiberbiztonsági munkáról, különösen egy új technológia bevezetésekor.

Összességében, bár a Huawei csak egy fogaskerék az egész kiberbiztonsági gépezetben, elvárható, hogy ne kerüljük el a felelősségünket. Szándékunkban áll tökéletesre csiszolni a fogaskerekünket, és másokat is arra ösztönözni, hogy ezt kövessék.

(Borítókép: Rafal Jaczynski)