VK geeft Huawei uitbrander na trage reactie op kwetsbaarheden

Abonneer je gratis op Techzine!

In een rapport van het Britse Huawei Cyber Security Evaluation Centre (HCSEC) blijkt dat serieuze kwetsbaarheden een jaar na datum som nog steeds bestaan. Door de rechtstreekse samenwerking met operatoren in het Verenigd Koninkrijk, is de kans echter klein dat de kwetsbaarheden kunnen worden aangevallen.

Het HCSEC werd in 2010 opgericht door Huawei in samenspraak met Her Majesty’s Government om risico’s te mitigeren omwille van de kritieke positie van Huawei binnen de nationale infrastructuur. HCSEC biedt security-evaluaties van een reeks van telecomproducten binnen het VK. Alle telecomproviders (EE, Vodafone, O2 en Three) maken gebruik van Huawei-hardware vandaag.

Het Oversight Board (OB)-rapport van HCSEC bevestigt allereerst dat er geen direct bewijs werd gevonden van staatsgesponsorde spionage. Het bekritiseert echter wel de trage houding van Huawei rond kwestbaarheden.

Mitigatiestrategie

Het rapport benadrukt dat HCSEC “serieuze kwetsbaarheden blijft vinden in Huawei-producten. Verschillende honderden kwetsbaarheden en opmerkingen werden aan de telecomoperatoren gerapporteerd. Sommige kwetsbaarheden die in vorige versies van producten werden geïdentificeerd, blijven bestaan.”

Het rapport benadrukt wel dat de mitigatiestrategie voor Huawei’s aanwezigheid in het VK mogelijk de zwaarste en strengste is in de hele wereld. Het rapport benadrukt ook dat de netwerken niet méér kwetsbaar zijn dan vorig jaar. Bovendien zorgt het veiligheidsmanagement van de telecomoperatoren in het VK ervoor dat het uitbuiten van kwetsbaarheden bijzonder lastig is.

Huawei laat in een reactie weten dat het de bezorgdheid begrijpt en neemt het resultaat heel ernstig. De problemen die werden geïdentificeerd, zijn voor Huawei vitale input in een aangaande transformatie van zijn software-engineeringcapaciteiten.

Eind vorig jaar heeft de Board of Directors van Huawei een resolutie uitgesproken om een transformatieprogramma te starten over het hele bedrijf. Het doel is om de software-engineeringcapaciteiten gevoelig te verbeteren. Het heeft voor deze transformatie een budget van 2 miljard dollar opzijgezet.

Concurrentie?

Het rapport ligt gevoelig omdat vandaag de vier telecomproviders in het VK hun 5G-netwerken voorbereiden. EE heeft al laten weten dat het geen Huawei-hardware zal gebruiken in de kern van zijn netwerk omwille van een beleid dat eigenaar BT al sinds 2006 hanteert. Vodafone heeft het gebruik van Huawei-apparatuur ‘gepauzeerd’. O2 en Three testen allebei hardware voor toekomstig gebruik.

Huawei laat weten dat er een high-level plan voor het programma werd ontwikkeld en dat het nauw blijft werken met telecomoperatoren en het National Cyber Security Centre (NCSC) in het VK. Huawei wil aan de eisen voldoen nu cloud, digitalisering en software-defined networking steeds belangrijker worden. Om de continue veiligheid van globale telecomnetwerken te garanderen, moeten industrieën, regulatoren en overheden volgens het bedrijf samenwerken om hogere standaarden vast te leggen voor cyberveiligheid.

Huawei krijgt met het rapport de wind van voor, maar het is vandaag wel de enige telecomfabrikant die zijn broncode beschikbaar stelt om testen op uit te voeren. Concurrenten Cisco, Nokia en Ericsson houden die code geheim en delen die met niemand. Het is bijgevolg onmogelijk om te vergelijken met hen om te zien of Huawei zich moet herpakken of dat de concurrentie ook een haar in de boter heeft. Wordt ongetwijfeld nog vervolgd.

Gerelateerd: Op bezoek bij Huawei in Shenzhen: cybersecurity, broncode en vetorecht