desc

La cyber-security è una questione globale: Huawei punta su cooperazione e trasparenza

Cybersecurity
TECH
Edit article
Set prefered

La cyber-security è una questione globale: Huawei punta su cooperazione e trasparenza

A Dongguan viene inaugurato il polo centrale per instaurare un dialogo con nazioni e operatori. In Italia c’è un analogo centro a Roma, che opera già a pieno regime

A Dongguan viene inaugurato il polo centrale per instaurare un dialogo con nazioni e operatori. In Italia c’è un analogo centro a Roma, che opera già a pieno regime

Cybersecurity

“Lo scorso anno abbiamo servito 3 miliardi di clienti in tutto il mondo, senza alcun problema di sicurezza”: Ken Hu, Rotating Chairman di Huawei, mette in chiaro quali sono gli standard che la sua azienda punta a garantire in ogni parte del globo sulla base dell’esperienza maturata in questi anni. E lo fa nel giorno in cui Huawei inaugura a Dongguan un rinnovato Global Cyber Security and Privacy Protection Transparency Center, un luogo dove mostrare a chiunque ne faccia richiesta quali sono le metodologie, gli strumenti e la tecnologia che l’azienda cinese punta a mettere in campo per convincere pubblico e governi della bontà dei suoi prodotti. Un programma iniziato ormai da alcuni anni, con un centro a Bruxelles e uno più recente inaugurato a inizio 2021 a Roma e dedicato al Belpaese: con il proposito e il suggerimento rivolto a tutti di considerare questa materia, la cyber-sicurezza, come un tema da gestire condividendo informazioni e agendo insieme a livello globale.

Ken Hu, Rotating Chairman di Huawei

Il pregiudizio cinese

È innegabile che gli ultimi anni siano stati caratterizzati da una contrapposizione est-ovest che ha visto mutare gli interlocutori: non siamo più ai tempi della Guerra Fredda, ma l’Occidente ha guardato con diffidenza l’esplosione del fenomeno Cina che in pochi anni ha recuperato decenni di crescita tecnologica ed economica fino a imporsi come super-potenza mondiale. “In alcuni luoghi nel mondo sussiste ancora l’equivoco secondo cui la nazione di provenienza di un’azienda creerebbe dei rischi per la cyber-sicurezza di per sé” ha detto sempre Ken Hu alla cerimonia di inaugurazione: aggiungendo però anche che “Questo è falso. Huawei segue un approccio standard e globale che mette la sicurezza al primo posto”, e anzi rilanciando con una proposta per la creazione di veri e propri standard internazionali condivisi che attestino la sicurezza informatica di hardware e software.

Qualcosa in questo senso inizia già a muoversi: Tao Qing, vicedirettore della cybersicurezza del Ministero dell’Industria e dell’IT di Pechino, nella stessa circostanza ha ribadito l’impegno del suo Governo nel promuovere standard precisi per il rispetto della privacy con un approccio “people-centric”, con l’obiettivo di promuovere la nascita di questi standard internazionali. Mentre John Suffolk, Huawei Global Cyber Security and Privacy Officer, mette nero su bianco la linea che l’azienda continuerà a seguire: “Non possiamo essere i numeri uno semplicemente perché abbiamo il prodotto migliore – ha detto sempre durante la cerimonia – Dobbiamo esserlo anche in trasparenza, in fiducia, e siamo a disposizione per collaborare con tutti su questi temi. Il nostro modello prevede che ci siederemo al tavolo con ogni Governo per trovare il modo migliore di rispondere alle loro richieste”.

Nel frattempo GSMA, l’associazione che riunisce gli stakeholder del mondo mobile, ha promosso la nascita di un primo protocollo in questo senso: il Network Equipment Security Assurance Scheme (NESAS) è stato definito da uno sforzo congiunto di 3GPP e GSMA. Luca Piccinelli, Cyber Security and Privacy Officer di Huawei Italia, in un’intervista concessa a StartupItalia durante la visita al Cyber Security Transparency Center della Capitale rivendica con forza il contributo offerto dalla Cina in questa operazione: “Abbiamo contribuito con oltre il 20 per cento delle proposte che sono state analizzate e valutate per la nascita del NESAS: per farlo abbiamo messo in piedi un team dedicato, abbiamo investito oltre 750 milioni di dollari l’anno per certificarci rispetto a queste regole e siamo stati probabilmente il primo vendor a livello globale a essere stati certificati al 100 per cento di conformità su oltre 2.000 requisiti”.

Il Global Cyber Security and Privacy Protection Transparency Center di Dongguan

Un approccio pratico

Messi da parte i buoni propositi, in ogni caso, occorre passare dalle parole ai fatti. La questione dell’utilizzo di apparati Huawei nelle reti mobile di quarta e quinta generazione tiene ancora banco in questi giorni anche da noi in Italia, con il Governo che ha ridefinito il cosiddetto “perimetro di sicurezza nazionale cibernetica” e ha anche dato vita all’Agenzia nazionale per la cybersicurezza: le telecomunicazioni rientrano a pieno titolo all’interno di questo perimetro, dunque Huawei sarà probabilmente chiamata a mostrare la propria osservanza delle regole oltre a dover affiancare i propri clienti (in questo caso parliamo di operatori) nell’implementazione di nuovi apparati e software per completare la transizione verso il 5G.

Nel centro di Roma si fa (anche) questo: è a disposizione del Governo e di tutti i vendor per valutare e verificare i prodotti Huawei in un ambiente che possa garantire al tempo stesso pieno accesso ai sorgenti del codice e il rispetto delle norme internazionali sulla proprietà intellettuale. Le stanze, protette da un sistema di sicurezza analogo a quello di un aeroporto e in cui è tassativamente vietato introdurre qualsiasi dispositivo elettronico esterno, lavorano a pieno regime da qualche mese per consentire ad esempio a un operatore di testare linea per linea il codice sorgente del software che andrà a installare sui propri apparati, con i suoi tecnici che possono attingere direttamente al repository centrale di Huawei senza limitazioni. Altri locali sono equipaggiati per le verifiche hardware: non c’è un singolo chip nei dispositivi di cui Huawei non fornisca le specifiche o persino gli schemi interni (se ovviamente sono prodotti da Huawei stessa), e ci sono tecnici specializzati che verificano a mano e con l’ausilio dei computer che i progetti ricalchino interamente la scheda tecnica fornita.

L’obiettivo è farsi trovare pronti alle verifiche che inizieranno nelle prossime settimane da parte dell’Agenzia nata sotto l’impulso del Governo Draghi: “Le certificazioni che abbiamo già ottenuto, come quella NESAS, potranno costituire una sorta di fast-track per le certificazioni del CVCN (Centro di Valutazione e di Certificazione Nazionale, ndr) – ci ha detto sempre Luca Piccinelli, dopo averci mostrato l’attività del centro romano – Ma come azienda puntiamo anche a una sorta di certificazione a livello globale, e siamo stati i primi a farlo”.

Luca Piccinelli, Cyber Security and Privacy Officer di Huawei Italia

Questo si somma ovviamente al lavoro che Huawei già svolge internamente per uno sviluppo che metta la sicurezza al primo posto (qui l’ultima versione delle linee guida appena rilasciate: Huawei Product Security Baseline): “È un’evoluzione iniziata anni fa – ci spiega Piccinelli – che, oltre a prevedere una serie di passaggi obbligati dall’inizio alla fine del processo di sviluppo prevede anche un approccio con controlli incrociati interni ed esterni: il nostro Indipendent Cybersecurity Laboratory (ICsL, ndr) svolge attività di verifica tramite test di conformità e penetration testing, ma ovviamente ci sottoponiamo anche a review di terze parti comprese quelle degli operatori. Per questo riteniamo che trasparenza e collaborazione siano fondamentali: siamo anche disponibili a raccogliere suggerimenti e consigli per migliorare le nostre procedure, perché questo significa migliorare il prodotto finale che resta il nostro principale obiettivo”.

La visione globale

Alla luce di tutti questi ragionamenti, va comunque preso atto di almeno un paio di punti. Il primo è senza dubbio che la questione sicurezza digitale, cyber-sicurezza o comunque la vogliate chiamare, è una questione che non può essere affrontata coi tempi e i modi della politica tradizionale: ciascun Paese porta avanti ancora una propria linea, ciascuno con la propria definizione di “rischio” e il tutto mentre la tecnologia avanza a tappe forzate e lo stesso fanno le minacce perpetrate da singoli o da veri e propri cartelli del cyber-crimine. Se nel 20esimo secolo si poteva immaginare di normare un mercato o legiferare su un tema con un orizzonte temporale a 10 anni o più, oggi 12 mesi possono essere persino troppi. Il rischio è, mutuando un celebre proverbio, chiudere la stalla dopo che i buoi sono già scappati.

L’altro aspetto, il secondo ma non secondario, è che – sebbene siano forse una mezza dozzina le grandi multinazionali che controllano gran parte della tecnologia del mobile – l’ecosistema in cui ci muoviamo è sempre più complesso e interconnesso: le reti di tutto il mondo devono parlarsi e soprattutto comprendersi, i servizi che gli utenti scelgono di utilizzare possono essere stati sviluppati nella stessa nazione in cui risiedono o a migliaia di chilometri di distanza, stiamo assistendo anche attraverso il 5G alla vera proliferazione di dispositivi IoT a cui si aggiungeranno anno dopo anno sempre più categorie di prodotti. In altre parole, per unire assieme i due temi, potremmo anche dire che l’innovazione non segue bensì detta il passo alla politica, e allo stesso tempo le manca un quadro regolamentare che esprima le linee guida da seguire e i valori da rispettare sul piano globale per consentire una crescita e uno sviluppo consapevoli.

Tirare le fila su questi due punti non è cosa che una singola azienda o un singolo Paese possa fare da solo: in questo senso, lo ha detto il CSO di Huawei John Suffolk, l’interlocutore di un’azienda restano i suoi clienti innanzi tutto. “Quello che facciamo costantemente è chiederci: cosa vogliono i nostri clienti, come possiamo risolvere i loro problemi e come possiamo aiutarli a generale valore? Abbiamo ridisegnato molte volte il nostro business da quando siamo stati fondati 30 anni fa, lo stiamo facendo ancora” ha detto, rispondendo a una domanda di un giornalista. Il ban statunitense è, in un certo senso, solo un altro fattore da considerare nell’equazione del modello da perseguire: “La realtà è che dobbiamo riposizionarci in alcuni mercati, e lo stiamo facendo con successo rispondendo a quelle domande”.

“Quello che dobbiamo fare – ha continuato sempre Suffolk – è dire la nostra su come pensiamo si debbano mettere in connessione i cittadini in tutto il mondo. Offrire a tutti la tecnologia giusta per ciascun individuo, ciascuna nazione, senza che la politica ci ponga un freno. E credo che il dibattito debba spostarsi dalle sole minacce e comprendere anche i benefici di avere più persone connesse tra di loro”. In sostanza, Huawei punta a restare un’azienda che si occupa di tecnologia: “Se la pandemia ci ha insegnato qualcosa – ha concluso Suffolk – è il potere della connessione. Il potere della condivisione. Il potere dei dati e della conoscenza. E penso che dobbiamo usare tutto questo per spingerci più avanti, senza farci distrarre da macchinazioni politiche che producono solo fumo e niente arrosto”.