Китайский технологический провайдер Huawei недавно был обвинен в том, что он может отслеживать все звонки, сделанные с помощью голландского оператора мобильной связи KPN. Эти откровения взяты из секретного отчета консалтинговой фирмы Capgemini за 2010 год, который KPN поручил оценить риски работы с инфраструктурой Huawei.
А полный доклад по этому вопросу так и не был обнародован, журналистов, освещающих историю обозначил конкретных проблем, что компания Huawei персонала в Нидерланды и Китай имеют доступ к безопасности-неотъемлемая часть КПН сети – в том числе и вызов данных миллионов граждан Голландии – и о том, что отсутствие записи означает, КПН не смог установить, как часто это происходило.
Как KPN, так и Huawei отрицают какую-либо неправомерность, хотя за годы, прошедшие с момента отчета 2010 года, Huawei все чаще стала называться поставщиком высокого риска для телекоммуникационных компаний, с которыми можно работать, в том числе Национальным центром кибербезопасности Великобритании.
Чтобы лучше понять эту историю и рассмотреть, могли ли другие телекоммуникационные сети иметь такие же уязвимости безопасности, как KPN, нам нужно посмотреть, как работают сложные мобильные сети. KPN фактически предоставила Huawei “права администратора” на свою мобильную сеть, передав работу на аутсорсинг китайской фирме. Законодательство только сейчас догоняет, чтобы предотвратить подобные уязвимости в безопасности телекоммуникаций.
Коммерческое давление
Huawei является одним из трех доминирующих поставщиков радиооборудования в мире, наряду с Ericsson и Nokia. Эти гигантские технологические компании предоставляют базовые станции и оборудование, которые доставляют сигналы мобильных телефонов. Операторы, подобные KPN, все чаще платят этим компаниям не только за покупку оборудования, но и за его поддержку и техническое обслуживание.
Телекоммуникационный рынок, на котором работает KPN, является одним из самых конкурентоспособных по цене в мире. Европейские операторы мобильной связи показали средний доход на одного пользователя в 2019 году в размере €14,90 (£12,85) в месяц по сравнению с €36,90 в месяц в США. Европейские расходы на телекоммуникационные услуги также сокращаются из года в год, поскольку операторы конкурируют за то, чтобы предложить потребителям лучшие предложения.
Снижение доходов вынуждает операторов тщательно управлять расходами. Это означает, что операторы стремятся передать часть своего бизнеса на аутсорсинг третьим лицам, особенно с конца 2000-х годов .
Наличие на балансе большого числа высококвалифицированных инженеров-это дорогостоящее обязательство, которое часто может оказаться недостаточно используемым, когда все идет гладко. Такие работы часто передаются на аутсорсинг, при этом персонал переводится на аутсорсингового поставщика, чтобы помочь операторам сократить свои расходы по заработной плате.
Аутсорсинг зашел слишком далеко
Когда все работает, мало кто замечает аутсорсинг. Но когда что-то идет не так, аутсорсинг часто может значительно усложнить восстановление или создать большую “единую точку отказа” или проблему безопасности.
В Великобритании, например, оператор мобильной связи O2 столкнулся по крайней мере с одним отключением, которое было связано с использованием аутсорсинговых функций. Там , где большое количество операторов полагается на одного и того же аутсорсингового партнера, любая проблема или нарушение безопасности, влияющие на аутсорсингового поставщика, могут иметь широкое влияние.
Тем не менее аутсорсинг сотовых операторов широко распространен. И фирмы в Великобритании и по всей Европе часто обращались к Huawei, чтобы предоставить ИТ-услуги и помочь построить основные сети. В 2010 году Huawei управляла критически важными для безопасности функциями основной сети KPN.
Доступ администратора
В то же время поставщики оборудования, такие как Huawei , пытаются перейти от простой продажи оборудования к предоставлению управляемых услуг, включая установку, техническое обслуживание и поддержку. Это помогает им получать постоянный доход в отрасли, где обычно преобладают крупные пятилетние или десятилетние циклы закупок.
Но по мере того, как эти поставщики добавляют услуги в свой репертуар, они получают более широкий доступ к мобильным сетям, с которыми они работают. Это может включать в себя некоторые критически важные для безопасности части телекоммуникационных сетей, которые часто предназначены для работы в надежных и безопасных средах.
В сценарии, где такой поставщик, как Huawei, также предоставляет управляемую услугу, они оказываются в уникальном привилегированном положении, с внутренним знанием своего собственного оборудования и с прямым доступом к доверенным интерфейсам управления.
Это создает высокотехнологичный эквивалент того, чтобы положить все яйца в одну корзину. Это сродни тому, чтобы дать комбинацию банковского хранилища одному и тому же охраннику, отвечающему за запись камер видеонаблюдения. Трудно надежно контролировать операции, выполняемые поставщиком, не полагаясь на собственное программное обеспечение этого поставщика.
В тех случаях , когда поставщик был определен как высокорисковый в результате их собственных методов обеспечения безопасности продукта, очень трудно понять, не сделал ли этот поставщик ничего плохого. Именно в такой ситуации KPN, по-видимому, оказалась с Huawei еще в 2010 году.
Нужны ли изменения?
Поскольку по крайней мере один оператор стремится сократить операционные расходы в Европе на 1,2 млрд евро, а развертывание 5G открывает новые возможности для использования управляемых услуг и программных решений в сетях, решения об аутсорсинге будут по-прежнему играть важную роль для мобильных операторов в будущем.
Но законодательство быстро догоняет. Великобритания предложила законопроект о безопасности телекоммуникаций, и связанный с ним проект вторичного законодательства включает требования к сетевым операторам контролировать всю деятельность, осуществляемую сторонними провайдерами, выявлять и управлять рисками их использования, а также иметь план поддержания нормальной работы сети в случае нарушения обслуживания их поставщика.
Для некоторых операторов вполне возможно, что это может означать возвращение ключевых навыков внутри компании, чтобы гарантировать, что кто-то наблюдает за (аутсорсинговыми) сторожами. В случае KPN эти меры, скорее всего, помешали бы Huawei иметь, казалось бы, неконтролируемый и привилегированный доступ к мобильным данным своих клиентов.
Если вам данная статья понравилась, то можете поставить лайк и подписаться на канал. Мне будет очень приятно.