Il Huawei Cyber Security Evaluation Centre (HCSEC), frutto della collaborazione dell'azienda e del Governo inglese, ha confermato che vi sono ancora problemi di sicurezza nel software TLC di Huawei. Non solo. L'istituzione indipendente, che dal 2010 monitora i prodotti di telecomunicazione impiegati nelle infrastrutture critiche nazionali, ha puntualizzato nel suo primo rapporto 2019 che l'azienda cinese non ha ancora risolto i suoi problemi nei processi di ingegneria software. Ciò che è emerso nel 2018 è rimasto tale, anche se Huawei si è prodigata nella collaborazione con l'HCSEC.
"L'Oversight Board continua a essere in grado di fornire solo una garanzia limitata che i rischi di sicurezza a lungo termine possano essere gestiti nelle apparecchiature Huawei attualmente installate nel Regno Unito", si legge nel documento.
Le più importanti criticità emerse sono:
- Che non c'è alcuna integrità end-to-end nei prodotti forniti da Huawei e vi è fiducia limitata sulla capacità di Huawei di comprendere il contenuto di una determinata build nonché nella sua capacità di eseguire un'analisi delle cause alla radice dei problemi identificati. Ciò solleva preoccupazioni significative sulla gestione della vulnerabilità a lungo termine
- La gestione dei componenti software di Huawei è difettosa, con conseguenti maggiori tassi di vulnerabilità e rischio significativo di software non supportabile
- Sebbene la revisione delle successive versioni principali dell'eNodeB (un componente della rete LTE, NdR.) mostrasse miglioramenti nella duplicazione del codice e una significativa riduzione del numero di copie del componente OpenSSL, l'ingegneria generale del software e la qualità della sicurezza informatica del prodotto continuano a dimostrare un numero significativo di difetti importanti.
In sintesi, HCSEC sostiene che sarà difficile in queste condizioni gestire i rischi legati ai futuri prodotti soprattutto sotto il profilo della sicurezza. "Al momento l'Oversight Board non ha visto nulla che consenta di dare fiducia alla capacità di Huawei di apportare cambiamenti tramite il suo programma di trasformazione e richiederà prove sostenute di una migliore ingegneria del software e della qualità della sicurezza informatica verificate da HCSEC e dal National Cyber Security Centre", conclude il rapporto.
HCSEC ha riconosciuto che non sono aumentati i rischi dall'anno scorso e ricordato comunque che non è sua intenzione entrare nel merito delle scelte che farà il Governo in relazione ai progetti di sviluppo 5G. Il suo compito è di fornire agli operatori TLC una serie di indicazioni che possano consentire di mitigare ogni problema tecnico.
"Comprendiamo queste preoccupazioni e le prendiamo molto sul serio. I problemi identificati nel rapporto OB forniscono un contributo vitale per la continua trasformazione delle nostre capacità di ingegneria del software", ha fatto sapere Huawei. "A novembre dello scorso anno il Consiglio di amministrazione di Huawei ha emesso una risoluzione per realizzare un programma di trasformazione aziendale volto a migliorare le nostre capacità di ingegneria del software, con un budget iniziale di 2 miliardi di dollari. È stato sviluppato un piano ad alto livello per il programma e continueremo a collaborare con gli operatori britannici e il NCSC durante la sua implementazione per soddisfare i requisiti stabiliti come il cloud, la digitalizzazione e tutto ciò che è basato su software. Per garantire la sicurezza costante delle reti globali di telecomunicazioni, l'industria, i regolatori e i governi devono collaborare su standard comuni più elevati per la sicurezza e la valutazione della sicurezza informatica".