Rafał Jaczyński z Huawei: gdy wykluczymy wszystkich dostawców to będzie najbezpieczniej

Rafał Jaczyński z Huawei opublikował w dzienniku Rzeczpospolita swój obszerny felieton tłumaczący z perspektywy tego chińskiego dostawcy temat bezpieczeństwa dostawców infrastruktury dla operatorów komórkowych. Według Jaczyńskiego, dostawca nie jest w stanie zdalnie ingerować lub np. wyłączyć sieci 5G korzystając z "tajnych" zdalnych dostępów i tylko osoby z oficjalnym dostępem udzielonym przez operatora są w stanie to zrobić.

Rafał Jaczyński od ponad 23 lat specjalizuje się w bezpieczeństwie nowoczesnych technologii, tworzył i prowadził specjalistyczne zespoły bezpieczeństwa IT i telekomunikacji w firmach takich jak Orange, Polkomtel, Vodafone i Staples Solutions. Jako szef zespołu cyberbezpieczeństwa PwC w Europie Środkowo-Wschodniej doradzał też polskim i międzynarodowym firmom energetycznym, telekomunikacyjnym, medialnym i finansowym. Obecnie w Huawei odpowiada za cyberbezpieczeństwo w 28 krajach.

Pełna treść artykułu znajduje się tutaj.

Oto jego fragmenty:

Powszechnym błędem jest przekonanie, że wykluczenie dostawców jest najlepszą opcją ograniczenia ryzyka. Z pewnością zadziała, jeśli wykluczymy WSZYSTKICH dostawców, ponieważ rzeczywiście będziemy mogli wtedy powiedzieć, że ryzyko łańcucha dostaw zostało skutecznie złagodzone w wyniku braku tegoż łańcucha dostaw. Jeśli jednak (co rekomenduję) zdecydujemy się nie podążać tą ścieżką, okaże się, że w branżach z niewielką liczbą dostawców ich wykluczanie jest po prostu złą strategią ograniczania ryzyka.

(...) Jedyne, co jest wykonalne, a zarazem może przynieść jakiekolwiek pożądane skutki, to prosta kontrola mająca na celu usunięcie dostawców, którzy nie mają absolutnie żadnego pojęcia o cyberbezpieczeństwie – o czym świadczyć mogłoby na przykład niewykazywanie praktycznie żadnego wysiłku, zaangażowania ani zasobów w tej sprawie. Poza tym, nie ma tak naprawdę innego wystarczająco skutecznego sposobu pozwalającego stwierdzić, który z dostawców technologii lepiej kontroluje łańcuch dostaw i procesy związane z rozwojem. Nie dysponujemy czasem, narzędziami ani żadnymi innymi zasobami umożliwiającymi tę analizę, nie mówiąc już o samodzielnym jej dokonaniu. Jedyne, co jest możliwe do osiągnięcia, to odróżnienie chłopców od mężczyzn – ale dalsze różnicowanie, zwłaszcza w przypadku dostawców technologii z listy Fortune 500, jest po prostu nierealne dla większości operatorów telekomunikacyjnych, przedsiębiorstw czy nawet organów rządowych. Jeśli ktokolwiek udowodni mi, że się mylę, bez wahania przyznam się do winy – ale przed próbą kontrataku odpowiedz sobie szczerze na pytanie, czy rzeczywiście widziałeś wnętrza fabryk lub centrów R&D swoich dostawców – oraz wszelkie obiekty ich poddostawców? Jaki był wynik procesu oceny ryzyka jednego z twoich dostawców, SolarWinds Inc. – bo jestem pewien, że z nią pracowałeś? A która jako „zaufany dostawca” została wykorzystana do uzyskania dostępu do kilkuset firmowych i rządowych sieci na całym świecie…

(...) Co możemy zrobić zamiast tego? Ponieważ praktyczne możliwości oceny ryzyka związanego z domeną zarządzaną przez naszych dostawców są ograniczone, zarówno z powodu braku dostępu do nich, jak i braku realnego wpływu, powinniśmy kontrolować zaufanie i minimalizować ryzyko w momencie, w którym mniej zaufana domena łączy się z naszą. Dostawca może naruszyć bezpieczeństwo sieci na trzy sposoby:

• Przez osoby lub systemy, które mają dostęp do twojej sieci.
• Przez luki w produktach, które dostarcza.
• Nie dostarczając tego, co jest konieczne i kiedy jest to wymagane do obsługi sieci.

I tyle! Dostawca – niezależnie od tego, czy jest źródłem zagrożenia, czy też ofiarą ataku z zewnątrz – nie może natomiast wysłać i nie wyśle myśliwców, bombowców, rakiet ani żołnierzy. Nie zaingeruje też w naszą sieć 5G za pomocą magii. Potrzebuje czegoś innego – urządzenia lub pary rąk, które faktycznie „dotykają” sieci. I właśnie ten aspekt nie tylko możemy, ale i powinniśmy kontrolować, aby osiągnąć to, czego potrzebujemy. (...)

(...) Kontrolowanie osób, które mają dostęp do sieci, wymaga trzech rzeczy:

Osoby, którym udzielamy dostępu, muszą zostać sprawdzone ex ante, w razie potrzeby z wymaganiem adekwatnego poświadczenia bezpieczeństwa osobowego.

Uprawnienia, które przyznajemy jako operator sieci, muszą być jawne, a nie dorozumiane, a także powiązane z konkretnymi osobami, których uprawnienia określone są ramami czasowymi, zakresem dostępu i lokalizacją.

Indywidualne działania muszą być stale monitorowane w trakcie dostępu do sieci i obiektów. Dotyczy to także takich modeli usług, w których ustanowione jest połączenie techniczne z systemami pod kontrolą dostawcy.

Podczas gdy dwa ostatnie narzędzia są powszechnie akceptowane jako najlepsza praktyka, z jakiegoś powodu wielu operatorów oraz rządów przestaje wymagać od personelu mającego dostęp do sieci 5G, na których tak bardzo im zależy, posiadania poświadczenia bezpieczeństwa na poziomie krajowym. Z pewnością zwiększyłoby to obciążenie pracą władz odpowiedzialnych za proces weryfikacji, dlatego rozumiem ich niechęć – ale skoro sieci 5G są traktowane jako istotne dla bezpieczeństwa narodowego, dlaczego nie traktujemy tak ludzi, którzy mają do nich dostęp i je utrzymują?

(...) W przypadku sieci 5G mogłoby to przełożyć się na następujące wymogi bezpieczeństwa, które powinny zostać uwzględnione w ofertach i ewentualnie poparte przepisami krajowymi:

• Wszystkie elementy sieci 5G muszą przesyłać informacje o zdarzeniach istotnych dla bezpieczeństwa do centralnego repozytorium logów poprzez bezpieczny kanał, w czasie zbliżonym do rzeczywistego, bez użycia systemów pośredniczących.
• Wszystkie elementy sieci 5G muszą umożliwiać instalację sond sieciowych innych firm i agentów, takich jak EDR.
• Wszystkie elementy sieci muszą zapewniać otwarte API w celu pobrania szczegółowej inwentaryzacji sprzętu i oprogramowania elementów sieci.
• Wszystkie elementy sieci muszą zgłaszać zdarzenia AAA, zdarzenia związane z bezpieczeństwem, nietypowe zachowanie i stan operacyjny (zadania, procesor/pamięć, lista procesów, wykorzystanie).
• Wszystkie elementy sieci muszą umożliwiać szczegółową rozliczalność ich macierzy ruchu sieciowego (protokoły, porty etc.).
• Dla wszystkich elementów sieci musi być przygotowany przewodnik dotyczący najlepszych praktyk bezpiecznej konfiguracji oraz instrukcja dotycząca ich bezpiecznego wdrażania.
• Wszystkie elementy sieci muszą instalować wyłącznie oprogramowanie, które jest podpisane cyfrowo przez dostawcę i instalowane z dedykowanych kont – jedynych uprawnionych do wykonywania tej operacji. Proces instalacji powinien wymagać uwierzytelniania wieloskładnikowego.
• Wersje binarne całego oprogramowania (w tym firmware) muszą być równoważne binarnie, tj. kompilacja kodu źródłowego produktu ma być zgodna z binariami dostarczonymi przez dostawcę.
• Poprawki bezpieczeństwa muszą być dokonywane oddzielnie od poprawek funkcjonalnych i mieć ograniczony zakres.
• Dostawcy muszą bez opóźnień ujawniać wszelkie luki lub słabości zidentyfikowane w ich produktach oraz zapewnić wskazówki dotyczące możliwych środków zaradczych, jeśli takie istnieją, a także opracowywać poprawki zabezpieczeń w celu złagodzenia tych luk w rozsądnym czasie.

Jedynym działaniem po stronie dostawcy, mającym największy wpływ na stan bezpieczeństwa sieci przez cały okres jej użytkowania, jest po prostu opracowywanie i dostarczanie aktualizacji zabezpieczeń. Luki, jeśli zostaną znalezione, należy załatać, kropka. Dostawca nie ma i nigdy nie będzie miał żadnej wymówki od zapewnienia skutecznych poprawek bezpieczeństwa dla swoich produktów, które nie zostały oznaczone jako wycofane z eksploatacji/użytkowania i nie ma też żadnego powodu, aby klient nie mógł takich poprawek żądać. Konserwacja produktu, koniec wsparcia i wszelkie aspekty związane z końcem cyklu życia produktu oczywiście nie są tu bez znaczenia, ponieważ mogą one ograniczać możliwość zainstalowania poprawki na nieobsługiwanym urządzeniu lub platformie oprogramowania – ale co do zasady, umowa SLA w zakresie dostarczania aktualizacji zabezpieczeń musi nie tylko istnieć, ale także być egzekwowana.

(...) W dzisiejszym niestabilnym środowisku geopolitycznym i gospodarczym nie można lekceważyć ryzyka wycofania się dostawcy 5G z biznesu. Zmaterializowało się ono już w przeszłości, kiedy to Nortel Networks, wówczas drugi największy na świecie dostawca sprzętu telekomunikacyjnego, którego wartość w szczytowym momencie (rok 2000) wynosiła 250 miliardów dolarów, zniknął z rynku w roku 2009. Co zatem mogą zrobić operatorzy i organy regulacyjne, aby kontrolować skutki tego ryzyka?

Dostawca, który wycofał się z rynku, oznacza dla operatorów korzystających z jego produktów brak dalszej możliwości dostarczania urządzeń czy oprogramowania, ale co gorsza, odcięcie od konserwacji, aktualizacji i napraw elementów już obecnych w ich sieci. Tak właśnie kończy się wybieranie dostawców na podstawie gdybania odnośnie do szans pozostania danego podmiotu na rynku – to po prostu hazard, co doskonale obrazuje przykład Nortela. Zakładając, że przeprowadzona została jedna z podstawowych, najlepszych praktyk – czyli analiza due diligence w zakresie zdolności dostawcy do realizacji dostaw, istnieją dwa dalsze środki ostrożności, które operator sieci powinien podjąć, aby zabezpieczyć swoją przyszłość przy wyborze dostawcy:

• upewnić się, że posiadany przez niego zapas części zamiennych jest wystarczający;
• upewnić się, że kod źródłowy oprogramowania sieciowego, z którego korzysta – wraz z narzędziami i instrukcją jego budowy – jest przcchowywany w depozycie notarialnym, a umowa zezwala na dostęp operatora na określonych warunkach.

Pełna treść artykułu znajduje się tutaj.