Huawei Analyst Summit 2019: ‘Segurança continua sendo um fato tĂ©cnico e nĂŁo polĂ­tico’

A palavra segurança estĂĄ no coração do Huawei Analyst Summit 2019 em Shenzhen. Em palestras, sessĂ”es de perguntas e respostas e mesas-redondas, jornalistas e analistas de todo o mundo enfrentaram com suas perguntas a questĂŁo de rejeitar os produtos Huawei dos planos para o desenvolvimento do 5G de paĂ­ses como os EUA de diferentes Ăąngulos. A posição do Ken Hu – Vice-presidente da Huawei – claro nisso. ‘A segurança Ă© principalmente uma questĂŁo tĂ©cnica e tecnolĂłgica e deve continuar assim. Qualquer julgamento deve manter o mĂ©rito e permanecer objetivo. Quando se torna uma questĂŁo polĂ­tica e aberta a “sentimentos”, pode criar um ambiente ameaçador e pode ser perigoso, alĂ©m de aumentar os custos da inovação “. Uma abordagem baseada em padrĂ”es e transparĂȘncia compartilhados que Hu espera e o que a Huawei tenta seguir desde 2010, quando abriu seu primeiro Centro de Avaliação de Segurança CibernĂ©tica da Huawei no Reino Unido. Dirigindo lĂĄ John Suffolk, GSPO – Diretor Global de Segurança CibernĂ©tica e Privacidade – da empresa, que lidou com jornalistas e analistas em uma sessĂŁo de perguntas e respostas. Sua posição Ă© exatamente a mesma de Hu, mas houve mais tempo no bate-papo para investigar o assunto.

“Sabemos que em certas ĂĄreas o foco estĂĄ em nĂłs pelo simples fato de sermos chineses” – disse Suffolk – “NĂłs sabemos e continuamos com nossa abordagem: se os clientes confiam em nĂłs (e em nosso crescimento testemunha) significa que estamos trabalhando bem, especialmente na questĂŁo da segurança: eles sĂŁo os operadores que gerenciam as redes, nĂłs simplesmente fornecemos as ferramentas de hardware e software e eles estĂŁo pessoalmente interessados ​​no fato de que as redes sĂŁo seguras e inatacĂĄveis. Pense nisso: em qualquer dispositivo Huawei, haverĂĄ cerca de 30% dos componentes de hardware e software produzidos diretamente pela empresa, o restante feito por parceiros, incluindo os Estados Unidos, por exemplo, a Microsoft e, em vez disso, leve os produtos de empresas concorrentes, como Ericsson e Nokia. Muitos deles sĂŁo fabricados na China da mesma maneira que a nossa, mas ninguĂ©m se importa ou se arrisca. “

Desde a chegada da Suffolk na empresa, a questĂŁo da segurança sempre esteve no centro das pesquisas e desenvolvimento da Huawei. No dia anterior ao inĂ­cio do trabalho do HAS2019, tive a oportunidade de visitar oICSL, EU’LaboratĂłrio independente de segurança cibernĂ©tica, hospedado pela Huawei em um dos sites de produção e pesquisa de Shenzhen. É um laboratĂłrio criado pela empresa que trabalha de forma totalmente independente das equipes de pesquisa e desenvolvimento de produtos comerciais e a partir das quais passa todos os componentes produzidos pela Huawei. Cada um Ă© transmitido aos raios X no que diz respeito Ă  segurança, por um lado no que diz respeito ao cumprimento das vĂĄrias normas e certificaçÔes e, por outro, a toda uma sĂ©rie de teste de penetração por ameaças genĂ©ricas, oportunistas, direcionadas e avançadas. Cada linha de cĂłdigo Ă© filtrada, usando suĂ­tes comerciais automatizadas, ferramentas de cĂłdigo aberto e ferramentas criadas diretamente pelos engenheiros da Huawei para necessidades e situaçÔes especĂ­ficas.

Cada teste (me foi mostrado um projeto no qual mais de 40.000 anĂĄlises foram realizadas) contribui para a elaboração de um relatĂłrio detalhado, de atĂ© 500 pĂĄginas, que no final afixa o carimbo “IR‘ou’NÃO VÁ‘no produto. O primeiro aprova o lançamento comercial, o segundo coloca o direito de veto (e, portanto, responsabilidade) de comercializar o produto nas mĂŁos do GSPO John Suffolk. Durante a fase de teste, tambĂ©m pode acontecer que os produtos sejam rejeitados e devolvidos Ă  pesquisa e desenvolvimento para serem modificados. O laboratĂłrio responde diretamente ao GSPO, que se reporta ao CEO, sem que seja possĂ­vel pressionar a produção para “fechar os olhos” em alguma falha.

O ICSL começou como uma pequena instalação para 5 pessoas em 2013 e agora tem mais de cem pessoas. Seus controles de segurança e aderĂȘncia aos padrĂ”es se somam aos da pesquisa e desenvolvimento de produtos comerciais da estrutura Huawei e, na prĂĄtica, operam como um verdadeiro verificação dupla de segurança em todos os produtos da empresa. A abordagem que John Suffolk reiterou vĂĄrias vezes durante a reuniĂŁo com jornalistas: “Quero que o maior nĂșmero possĂ­vel de pessoas ponha as mĂŁos no cĂłdigo fisicamente. Mais olhos sĂŁo melhores que um Ășnico par e, alĂ©m disso, vĂĄrias pessoas tĂȘm percepçÔes diferentes do risco. Somente o trabalho coral pode realmente ser uma base segura “. Durante a reuniĂŁo com Suffolk, tambĂ©m houve muita conversa sobre segurança de componente de cĂłdigo aberto. “O debate tem sido muito animado hĂĄ vĂĄrios anos sobre o assunto” – disse Suffolk – “Por um lado, hĂĄ aqueles que consideram os componentes de cĂłdigo aberto mais seguros, precisamente porque tudo estĂĄ disponĂ­vel para todos verem. O importante que pelo menos alguĂ©m tomou se preocupe em analisar minuciosamente todo o cĂłdigo. O cĂłdigo-fonte aberto potencial oferece, por esse motivo, mais segurança, mas minha abordagem Ă© nĂŁo confiar em ninguĂ©m e peço Ă s minhas equipes que façam o mesmo e analisem cada linha de cĂłdigo “. Um cĂłdigo privado, no qual apenas a empresa proprietĂĄria pode pĂŽr as mĂŁos em prĂĄtica, poderia estar mais sujeito a supervisĂŁo, por isso, nossos fornecedores assinam um contrato de transparĂȘncia: eles devem reportar imediatamente quaisquer vulnerabilidades descobertas “.

Estes sĂŁo, portanto, os cartĂ”es que a Huawei coloca em jogo falando sobre segurança e para se defender das acusaçÔes dos americanos. Como alguns jornalistas apontaram durante esses dias, a segurança Ă© certamente um fato puramente tĂ©cnico a princĂ­pio, mas as questĂ”es da guerra cibernĂ©tica tambĂ©m trazem a questĂŁo para o nĂ­vel geopolĂ­tico. “O fato de os governos imporem novos padrĂ”es e polĂ­ticas muito positivas” – diz Suffolk – “O importante Ă© que essas decisĂ”es sejam baseadas em fatos e nĂŁo em rumores ou sentimentos. Aprecio muito, por exemplo, o esforço da UniĂŁo EuropĂ©ia em segurança e privacidade de dados “.

Hoje, conversando informalmente com colegas jornalistas de diferentes partes do mundo sobre a questĂŁo da segurança, um dos temas que mais frequentemente surge Ă© o fato de que Ă s vezes as pessoas estĂŁo prontas para apontar o dedo escandalizado em direção a um backdoor hipotĂ©tico e nĂŁo comprovado deixado aberto por alguns fabricantes, talvez usando uma rede social, efetuando login com sua prĂłpria conta e dados pessoais usando uma rede Wi-Fi pĂșblica, seja a do aeroporto ou o que Ă© chamado de McDonald’s, mas que, na realidade, o McDonald’s talvez nĂŁo.