Александр Зубарев, директор по информационной безопасности Huawei в России: Центр Прозрачности Huawei – значимый элемент в укреплении Доверия

Кибербезопасность - это сложная, меняющаяся проблема, которая требует заинтересованного  сотрудничества и обмена информацией. В этих вопросах все еще нет основанного на стандартах, скоординированного подхода во всей отрасли, особенно, когда речь идет об управлении, технических возможностях, сертификации и сотрудничестве.

Действующий Председатель Совета директоров Huawei Кен Ху в своем приветствии  подчеркнул, что «в Huawei кибербезопасность является главным приоритетом. За последние 30 лет мы приобрели более трех миллиардов клиентов по всему миру. Мы поддерживаем устойчивую работу более чем 1 500 операторских сетей в более чем 170 странах. И за все это время мы накопили солидный опыт в кибербезопасности. Конечно, имеющиеся системы гарантий кибербезопасности не были разработаны в вакууме. Они также являются результатом регулярного взаимодействия, совместных исследований и совместных инноваций с нашими клиентами, партнерами, регулирующими органами и организациями по стандартизации по всему миру».

Основными задачами Центра в Дунгуане являются демонстрация новейших решений в области ИКТ и обмен опытом, содействие коммуникации и совместным инновациям, поддержка заинтересованных сторон со всего мира, укрепление сотрудничества по стандартам безопасности, проверки и инноваций, предоставление платформы для тестирования и проверки безопасности. Именно для этого и создан новый Центр прозрачности по кибербезопасности и защите конфиденциальности компании Huawei. Центр располагает лучшими средствами, методиками и инструментарием для тестирования и оценки, а также экспертами, доступными для наших партнеров, клиентов и коллег из отрасли.

Похожие Центры созданы и уже активно используются экспертами отрасли ИКТ в Китае, Канаде, Бельгии, Англии, Германии и Дубае.

Huawei дает клиентам и правительствам возможность прийти и проверить продукцию компании, получить доступ к исходным кодам, привлечь их собственных специалистов и специалистов третьих сторон, использовать инструментарий Huawei или свои инструменты. Это Huawei называет «многочисленными глазами и руками» для проверки и контроля. И мир должен знать результаты этой деятельности. Huawei показывает всем, что может это делать открыто и эффективно.

Повышение безопасности продукта является ключевым фактором снижения рисков, связанных с инцидентами в области кибербезопасности, которые происходят в мире. Главная цель Huawei - решить проблемы, которые стоят перед заказчиками в области ИКТ, кибербезопасности, защиты конфиденциальности и продолжать поддерживать клиентов компании в режиме 24х7.

Однако, фокусом этой деятельности является укрепление Доверия к компании Huawei, к ее решениям, продуктам и сервисам со стороны заказчиков, регуляторов и ИКТ-индустрии. Доверие – это сложное социально-психологическое понятие в области отношений, которые имеют рациональную и эмоциональную составляющие. Понятие «Доверие» имеет множество определений и толкований. Его основные компоненты были раскрыты автором в статье: «Доверие и качество: основной приоритет Huawei в России»  (https://huawei.ru/news/huawei_building_trust/).

Вместе с тем, доверие или недоверие должны основываться на фактах и является результатом открытого взаимодействия сторон. Факты, в свою очередь, должны поддаваться проверке, а проверка должна основываться на стандартах. Huawei следует этому принципу на протяжении последних 10 лет.
Директор глобального отдела кибербезопасности и защиты данных Huawei Шон Ян в своем выступлении при открытии Центра раскрыл основные требования по внедрению и контролю разработанного в Huawei базового уровня общих требований к безопасности продуктов Huawei, ко всему процессу их разработки, а также ко всей цепочке поставок компонентов. Он отметил: «Huawei разработала этот базовый уровень на основе общих и критичных требований в области кибербезопасности, выявленных в ходе изучения законов и правил в различных странах, а также глубокого понимания правовых и нормативных требований, бизнес-требований клиентов, передовой практики ИКТ-отрасли, известных проблем и многого другого».

Базовый уровень состоит из 54 требований в 15 категориях, таких как: защита контента связи, защита персональных данных, предотвращение вторжений, сетевое экранирование, контроль доступа, системная защита, защита приложений, криптография, защита чувствительных данных, управление и поддержка безопасности, безопасная загрузка и обеспечение целостности, безопасное документирование, безопасное программирование, безопасная сборка, управление жизненным циклом.

Эта система требований схожа с уровнями и профилями защиты, введенными в действие ФСТЭК России, которые Huawei строго выполняет при проведении оценки соответствия и сертификации по требованиям безопасности продукции Huawei в России.

Тем не менее, Базовый уровень требований - это развивающаяся модель. Huawei  будет ее использовать, чтобы двигаться вперед по пути создания инфраструктуры безопасности и конфиденциальности, что будет способствовать реализации стратегии безопасности, стимулировать международное сотрудничество, практику и коммуникации, необходимые для сохранения экосистемы кибербезопасности, развитию государственного и частного партнерства в интересах безопасного цифрового будущего.

В последнее время эксперты некоторых стран поднимают вопрос о предоставлении исходного кода программного обеспечения продукции Huawei. Мы можем это сделать в рамках взаимодействия по технологиям с открытым исходным кодом. Однако, наши партнеры при работе с кодом должны осознавать, что для этого нужны сильные технические возможности, широкий набор инструментария, развитая инфраструктура,  современные компоненты, сетевые высокоскоростные микропроцессоры, надлежащий опыт и знания и т.п. – без всего этого любая демонстрация и тесты не будут эффективными.

Джон Саффолк, Глобальный директор по кибербезопасности и защите конфиденциальности Huawei, в своем заключительном выступлении отметил: «Следует отметить, что многие тысячи компаний и многие правительства, которые протестировали и оценили продукты Huawei, находят некоторые уязвимости, но они никогда не нашли никаких реальных проблем. Мы имеем эволюционирующий ландшафт угроз безопасности. Мы ценим стандарты, оценки, сертификацию, но все это требует времени, а ИКТ-решения, как ключевой двигатель промышленных и экономических преобразований, развиваются постоянно. Важна скорость в доработке решений и исправлении ошибок, поэтому нужны такие Центры прозрачности и оценки, которые помогают постоянно тестировать продукцию. Любой клиент Huawei должен убедиться, что наши продукция и решения проходят непрерывную оценку их качества и безопасности».

Кибербезопасность - это не гонка, это ежедневная, целенаправленная и системная работа коллективов, где продуманы все детали на всех уровнях и во всех процессах.

Именно такую работу проводит Huawei и в Российской Федерации, чтобы достойно занимать место одного из ведущих лидеров в области ИКТ и надежного партнера.