21.10.2020

GCHQ обнаружил уязвимость национального значения в оборудовании Huawei

Первоначально китайская компания не сообщала о проблеме с оборудованием Huawei и не сообщала о ней из соображений безопасности.

в прошлом году в оборудовании Huawei была обнаружена уязвимость национального значения.

Аналитики кибербезопасности, которым было поручено исследовать оборудование Huawei, используемое в телекоммуникационных сетях Великобритании, в прошлом году обнаружили уязвимость «национального значения».

Согласно отчету по надзору, опубликованному в четверг, следователи из британского центра оценки кибербезопасности Huawei (HCSEC) обнаружили, что проблема настолько серьезна, что о ней не сообщили в компании.

Уязвимости обычно представляют собой сбои в разработке программного обеспечения, которые могут позволить враждебным сторонам (в частности, китайскому государству, когда речь идет о Huawei) провести кибератаку. Они не обязательно являются преднамеренными и не могут рассматриваться как указание на какие-либо враждебные намерения со стороны самих разработчиков.

Huawei: объяснение компании и рисков безопасности

Существует гипотетическая обеспокоенность по поводу того, что Пекин мог целенаправленно создать в оборудовании Huawei какой-то отрицательный недостаток, который он мог бы использовать, или что он мог быть предупрежден о потенциальном векторе атаки после того, как о проблеме было сообщено в Huawei.

В отчете прямо говорится, что Национальный центр кибербезопасности Великобритании (NCSC), входящий в состав GCHQ, «не считает, что выявленные дефекты являются результатом вмешательства государства Китая», и добавляет, что нет никаких доказательств использования уязвимостей.

Вместо этого агентство сообщило, что «плохая разработка программного обеспечения и процессы кибербезопасности приводят к проблемам с безопасностью и качеством, включая уязвимости» и что «растущее количество и серьезность обнаруженных уязвимостей» вызывает особую озабоченность.

«Если злоумышленник знает об этих уязвимостях и имеет достаточный доступ для их использования, он может повлиять на работу британской сети, в некоторых случаях заставляя ее перестать работать правильно», — предупреждается в отчете.

«Другие воздействия могут включать возможность доступа к пользовательскому трафику или реконфигурацию сетевых элементов».

После того, как основная уязвимость была оценена службами безопасности Великобритании, о ней было сообщено в Huawei в соответствии с обычным процессом раскрытия уязвимостей HCSEC.

В отчете добавлено, что HCSEC «продолжает выявлять серьезные и систематические недостатки в разработке программного обеспечения и компетенции Huawei в области кибербезопасности» — и предупреждает, что, несмотря на исправление конкретных проблем по указанию, агентство «не уверено, что Huawei будет эффективно поддерживать компоненты в своих продукты».

Изображение: NCSC является частью GCHQ, британского агентства по кибербезопасности и радиосвязи.

Представитель Huawei заявил, что в отчете подчеркивается «приверженность компании процессу, который гарантирует открытость и прозрачность, и демонстрирует, что HCSEC является эффективным способом снижения рисков кибербезопасности в Великобритании».

Они подчеркнули вывод NCSC о том, что дефекты не считались результатом злонамеренного вмешательства со стороны китайского государства и что сети Великобритании не более уязвимы, чем в прошлом году.

«Как новаторы, мы продолжаем значительные инвестиции в улучшение наших продуктов. В отчете признается, что, хотя наш процесс трансформации программного обеспечения находится в зачаточном состоянии, мы достигли определенного прогресса в улучшении наших возможностей разработки программного обеспечения», — сказал представитель.

«В течение почти 10 лет компания Huawei подвергалась высочайшему уровню проверки. Эта тщательная проверка создает прецедент для сотрудничества в области кибербезопасности между государственным и частным секторами и дает ценную информацию для телекоммуникационного сектора».

Хотя похожие уязвимости для конкурирующих компаний, которые предоставляют сетевое оборудование — будь то радиоантенны или базовые коммутаторы и шлюзы — часто обнаруживаются, компания утверждает, что им не уделяют такого же внимания.

«Мы считаем, что этот механизм может принести пользу всей отрасли, и Huawei призывает всех поставщиков оценивать их по одинаково надежным тестам, чтобы улучшить стандарты безопасности для всех», — добавил представитель.

Пожалуйста, используйте браузер Chrome для более доступного видеоплеера

Трамп: «Мы убедили многие страны не использовать Huawei»

Американские ограничения в отношении Huawei (заявленные как основанные на соображениях безопасности, хотя компания утверждала, что она несправедливо пострадала от торговой войны администрации Трампа) запретят американским технологическим компаниям предоставлять компании компоненты, такие как компьютерные чипы.

В результате этих ограничений британское правительство распорядилось, чтобы все оборудование Huawei было удалено из телекоммуникационных сетей Великобритании к 2027 году, следуя рекомендации NCSC о том, что оно больше не может гарантировать безопасность оборудования Huawei, если оно будет использовать чипы от менее проверенные производители.

Санкции США были раскритикованы как «произвольные и пагубные» со стороны Huawei, которая подтвердила, что в результате 40% ролей в ее корпоративной бизнес-группе в Великобритании сокращаются .

Выступая на прошлой неделе в Sky News, член парламента Мэтт Варман, у которого есть портфель инфраструктуры в ведении цифрового секретаря, сказал, что не ожидает, что США изменит свой подход к компании, даже если в ноябре будет избрана новая администрация.

«Если я посмотрю через Атлантику, на самом деле это проблема, в которой — хотя язык может быть другим — существует значительная двухпартийная поддержка, которая соответствует принятому нами решению», — сказал он.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *