Huawei ma coraz poważniejsze problemy. Kolejna agencja odpowiedzialna za bezpieczeństwo narodowe wydała ostrzeżenie w sprawie sprzętu telekomunikacyjnego pochodzącego z Chin. Operatorzy z USA, Australii, Nowej Zelandii oraz Japonii nie mogą kupować stacji bazowych 5G oraz innego sprzętu telekomunikacyjnego od Huawei i ZTE. Teraz podobną rekomendację wydał Czeski Narodowy Urząd ds. Bezpieczeństwa Cybernetycznego i Informatycznego (NUKIB).

Chińscy producenci sprzętu telekomunikacyjnego już od dłuższego czasu są podejrzewani o współpracę z rządem Chińskiej Republiki Ludowej. Chodzi tutaj oczywiście o potencjalne umieszczanie backdoor’ów oraz zbieranie informacji gromadzonych przez poszczególne urządzenia, co mogłoby zagrozić bezpieczeństwu narodowemu poszczególnych państw. Chyba nikomu nie trzeba tłumaczyć tego, że stacje bazowe, routery agregacyjne oraz wszelkiej maści serwery, które pracują w ogólnokrajowych infrastrukturach telekomunikacyjnych, powinny być bardzo solidnie zabezpieczone. Dlatego operatorzy sieci komórkowych przeprowadzają audyty bezpieczeństwa instalowanego w swoich sieciach sprzętu. Mogłoby się wydawać, że nikt do tej pory (oczywiście z wyjątkiem Stanów Zjednoczonych) nie przejmował się chińskimi stacjami bazowymi. Nie jest to prawdą. Operatorzy, którzy mają sprzęt Huawei, na bieżąco sprawdzają, czy nie wysyłają one do Chin podejrzanych danych. Problem polega na tym, że agencje odpowiedzialne za cyberbezpieczeństwo, nie wiedzą jeszcze w jaki sposób będzie można skutecznie zapewnić bezpieczeństwo przyszłych sieci 5G.

Operatorzy mogą dość łatwo zabezpieczyć sieci 4G LTE, ale 5G to już zupełnie inna historia

Zabezpieczenie sieci 4G LTE jest dość łatwe. Operatorzy, którym zależy na bezpieczeństwie mają dwa rozwiązania. Pierwsze z nich polega na budowie i monitorowaniu własnej sieci IP, która łączy wszystkie stacje bazowe eNodeB z pozostałymi elementami sieci. Dzięki temu operator jest w stanie monitorować dane zbierane stacje bazowe i w dość łatwy sposób widzi, gdzie są one wysyłane. Jednak rozwiązanie to nie jest uzasadnione ekonomicznie. Firmy telekomunikacyjne, które korzystają z współdzielonej infrastruktury szkieletowej, mogą zabezpieczyć dane przesyłane przez stacje bazowe za pomocą zestawu protokołów IPsec (IP Security). Działa to w taki sposób, że dane przesyłane pomiędzy stacją bazową, a bramą bezpieczeństwa (Sec-GW), są szyfrowane. Szyfrowanie to odbywa się w topologi punkt-punkt. Dane pochodzące z dużej grupy stacji bazowych, deszyfrowane są właśnie przez bramę Sec-GW, która umieszczona jest w sieci zarządzanej przez operatora. Dzięki temu operatorzy mają kontrolę nad ruchem przychodzącym i wychodzącym. Takie rozwiązanie pozwala na wyłapanie aktywności ewentualnych backdoor’ów.

IPsec

Niestety rozwiązania znane z sieci LTE nie mogą być wprost zastosowane w 5G. Nowa generacja sieci komórkowych charakteryzuje się o rząd mniejszymi opóźnieniami. Dlatego operatorzy nie mogą stosować obecnych bram IPsec które wprowadzają dodatkowo opóźnienia. 5G to również edge cloud, czyli niewielkie centra danych umieszczone tuż przy stacjach bazowych. Oznacza to, że znaczna część pobieranych przez użytkowników danych, będzie pochodzić z agregatorów umieszczonych przy stacjach bazowych i nie będzie trzeba przesyłać ich przez całą sieć szkieletową. Zmniejszy to zarówno obciążenie sieci operatora, jak i opóźnienie przesyłu pakietów. Oznacza to, że stacja bazowa 5G, czyli gNodeB, będzie wykonywać dużo więcej operacji niż nadajnik LTE (eNodeB). Budzi to obawy specjalistów zajmujących się cyberbezpieczeństwem.

Operatorzy również martwią się tym tematem. W Europie mieliśmy ostatnio do czynienia z dwoma przypadkami, które pokazują zdroworozsądkowe podejście do problemu bezpieczeństwa. Brytyjczycy zażądali od Huawei konkretnych funkcjonalności. Z kolei Chińczycy zobowiązali się do spełnienia wszystkich stawianych wymogów. Natomiast niemiecki oddział T-Mobile (a dokładniej Deutsche Telekom) pracuje nad nową strategią, która określa zasady wyboru dostawcy sprzętu. Oczywiście nowe kryteria kładą główny nacisk na kwestie związane z bezpieczeństwem. Ważne jest również to, że wymogi te stawiane są wszystkim producentom stacji bazowych. Będą musieli je spełnić zarówno Huawei i ZTE, jak i Ericsson i Nokia.

Czesi ostrzegają przez Huawei i ZTE, ale nie dzielą się dowodami

Czeski Narodowy Urząd ds. Bezpieczeństwa Cybernetycznego i Informatycznego (NCISA) wydał ostrzeżenie dotyczące sprzętu i oprogramowania firm Huawei oraz ZTE. Dušan Navrátil, dyrektor NCISA, podsumowuje je w następujący sposób:

„Wydanie tego ostrzeżenia podsumowuje nasze wnioski oraz ustalenia naszych sojuszników i partnerów bezpieczeństwa. Głównym problemem jest otoczenie prawne i polityczne Chińskiej Republiki Ludowej, w której znajdują się siedziby główne wspomnianych przedsiębiorstw. Prawa chińskie wymagają między innymi, aby prywatne firmy rezydujące w Chinach współpracowały ze służbami wywiadowczymi, dlatego wprowadzenie ich do kluczowych systemów państwowych może stanowić zagrożenie”.

„Zgodnie z ustawą o Cyberbezpieczeństwie ostrzeżenie oznacza, że administratorzy systemu działającego w krytycznej infrastrukturze informacyjnej, ważnych systemach informatycznych lub istotnych usługodawcach są zobowiązani do rozpoznania zagrożenia i podjęcia odpowiednich środków. Nie rozróżniamy systemów państwowych ani prywatnych. Naszym kryterium jest to, czy wtargnięcie do określonego systemu wpłynęłoby na funkcjonowanie Republiki Czeskiej jako suwerennego państwa”.

Huawei wydało stosowne oświadczenie

Chińczycy już się przyzwyczaili do bezpodstawnych oskarżeń. Dlatego Huawei rozesłał do mediów oświadczenie, które jest odpowiedzią na ostrzeżenie wydane przez Czeski Narodowy Urząd ds. Bezpieczeństwa Cybernetycznego i Informatycznego:

„Kategorycznie zaprzeczamy wszelkim sugestiom, że stanowimy zagrożenie dla bezpieczeństwa narodowego. Zwracamy się do Czeskiego Narodowego Urzędu ds. Bezpieczeństwa Cybernetycznego i Informatycznego (NUKIB) o dostarczenie dowodów, zamiast kwestionowania reputacji Huawei bez uzasadnienia.
Bezpieczeństwo cybernetyczne zawsze było naszym najwyższym priorytetem i mamy udokumentowane doświadczenie w dostarczaniu bezpiecznych produktów i rozwiązań dla naszych klientów w Czechach, Europie i na całym świecie. W naszej 30-letniej historii nie było absolutnie żadnych dowodów na to, że Huawei dokonał jakiegokolwiek naruszenia w zakresie bezpieczeństwa cybernetycznego. Dzięki temu, jesteśmy zaufanym partnerem dla wszystkich głównych czeskich operatorów telekomunikacyjnych i lokalnych klientów oraz współpracujemy ze wszystkimi partnerami branżowymi w celu zapewnienia bezpiecznych i niezawodnych sieci w tym kraju.
W Chinach nie istnieją żadne przepisy ani regulacje prawne, które nakazywałyby Huawei lub jakiejkolwiek innej firmie instalowanie „backdoorów”. Huawei nigdy nie otrzymał takiej prośby od żadnego rządu i nigdy nie wyrazilibyśmy na to zgody.”

Źródło: NCISA 

PJ
Przemek jest mózgiem operacyjnym SpeedTest.pl. Studiował na Politechnice Wrocławskiej elektronikę i telekomunikację. Zarządza projektami IT, relacjami z klientami oraz nadzoruje procesy rozwoju. Prywatnie zaangażowany w rodzinę, wsparcie różnych działalności charytatywnych i projekty ekstremalne.