В продолжение этого топика. Или не в продолжение, а в качестве предыстории, так как приведенная ниже статья была написана за три месяца до описываемых событий.
Я много думал про информационные риски, связанные как с оборудованием Huawei, так и с самой компанией Huawei. Я разговаривал с людьми, в неформальной обстановке рассказывавшими о своем опыте работы с Huawei в роли клиентов – по их словам, качество продукции, мягко говоря, не самое лучшее, но зато цена отличная. В конце концов я осознал одну пугающую истину. Главный риск информационной безопасности – не в сетевом железе, а в инженерах техподдержки вендора.
Некоторые крупнейшие телекомы Европы выбрали сетевое оборудование Huawei из-за низкой цены, нередко – в два раза более низкой, чем у конкурентов. Сразу после покупки оборудования клиент неизменно обнаруживает множество багов, часть в программном коде, часть в железе. Среди сетевых инженеров широко известно, что архитектура ПО у Huawei весьма убогая, ему недостает гибкости, и у него немало уязвимостей (хотя со временем ситуация улучшается).
А ведь это – критичная для бизнеса проблема. Многие из этих компаний создали специальные подразделения, занятые исключительно тестированием кода и железа Huawei на предмет работоспособности в конкретном сценарии использования. И все равно это обходится дешевле, чем если просто покупать оборудование Cisco или Juniper.
Техподдержка в качестве угрозы информационной безопасности
Настоящая угроза безопасности возникает, когда Huawei начинает решать проблемы клиентов. Их типичная реакция в случае крупного заказчика – вылет команды инженеров из Китая прямо на место, чтобы там разобраться с кейсом. Мне рассказывали, что инженеры в количестве от двадцати до ста за раз будут за счет самой Huawei работать над выявлением багов, внесением изменений в код, отправкой результата разработчикам на родине, получением нового кода и его тестированием.
Такое бывало у минимум трех крупных провайдеров Европы. Давайте на минуту забудем, что если вы выпускаете продукт, вы должны его тщательно протестировать, обеспечить высокое качество программного кода, относительную безглючность, и даже Cisco и Juniper поступали схожим с Huawei образом в 90-е, когда сетевая индустрия еще пребывала в зачаточном состоянии.
Главный риск – команда инженеров. Они будут находиться в самом центре телекоммуникационной инфраструктуры страны. Чтобы выявить и устранить проблемы, они получат полный доступ к информации об архитектуре сети. Кроме этого, у них скорее всего будет полный доступ к имеющемуся оборудованию, в том числе не только выпущенному Huawei. Эти инженеры на время вольются в структуру компании, и у них будет возможность тщательно изучить реакцию сотрудников на инциденты ИБ, да и просто оценить общую степень защищенности сети.
Знание – ключ к успеху при атаке на сеть.
В чем угроза?
Маловероятно, что оборудование Huawei содержит закладки – такое очень тяжело спрятать. Куда проще для иностранного правительства включить пару своих людей в команду техподдержки, а затем получить от них документацию, схемы топологий и конфигурации устройств. Телекомы обычно очень слабо защищены от кражи данных доверенными людьми.
Обладая подобной информацией, атакующий легко построит карту сети. Знание слабых мест, физических местоположений, логической структуры, плана реакции на атаки и того, какое в компании установлено оборудование, поистине бесценно. Обычному хакеру со стороны пришлось бы потратить огромное количество времени и ресурсов на исследование цели и обнаружение слабых мест в сети оператора.
Учитывайте, что постоянное сопровождение оборудования подразумевает непрерывную актуализацию имеющейся у Huawei информации о дизайне сети и ее конфигурации. Эти данные объективно требуются компании для более качественного осуществления поддержки клиента.
Наличие полного объема знаний о внутренней сети и о связанных с безопасностью внутренних процедурах крупного национального провайдера – существенная угроза национальной безопасности.
Как защититься?
Вся разработка ведется в Китае, и результаты любой проверки китайских граждан, работающих на Huawei, будут недостоверными.
Очень сложно установить барьеры, способные предотвратить утечку информации производителю вашего оборудования. Он просто не сможет помочь вам без этой информации.
Мнение автора
Весь ажиотаж вокруг закладок в оборудовании Huawei как минимум удивляет. Если бы я был директором IT в операторе связи, меня бы больше заботили операционные затраты, связанные с низким качеством ПО, так как качество продукции Huawei с точки зрения многих инженеров является никуда не годным.
Люди справедливо беспокоятся о национальной безопасности, но дело именно в том, что инженеры Huawei могут собрать колоссальное количество информации о телекоммуникационной инфраструктуре, на которой и построен современный мир. Это по сути и является сетевой разведкой. Но нельзя не отметить, что компании, покупающие оборудование Cisco, сталкиваются с теми же угрозами. Думаю, продажи оборудования Cisco китайскому правительству ограничены по тем же самым причинам, но СМИ мало говорят об этом.
Чтобы понять масштаб бедствия: не так давно, в процессе выполнения проекта для очень крупной сети продаж, я узнал, что три дня без электронных финансовых транзакций нанесут колоссальный урон экономике и вполне могут привести к массовым беспорядкам. Через пять дней может наступить коллапс общества, так как ничто не продается и не покупается. Коммерция – настолько же жизненно важная инфраструктура, как электричество и вода.
Ставя себя на место атакующего: мне как раз и нужно знание того, куда ударить, чтобы вызвать такое. И именно такую информацию инженеры могут легко получить, расположившись на территории заказчика и устраняя его проблемы. Так что мы правы, заботясь о безопасности, и нам нужно тщательно присматриваться именно к компании Huawei, а не к ее продукции. И само собой разумеется, что такое же отношение должно быть к американским разработчикам вроде Cisco и Juniper со стороны жителей определенных стран.
Проблема в информационной безопасности, а не в физической.
Автор: JDima