Reino Unido encontrou falha de ‘importância nacional’ na tecnologia da Huawei, diz relatório
Especialistas em segurança do Reino Unido encontraram uma falha de “importância nacional” ao analisar a tecnologia da empresa de rede chinesa Huawei, de acordo com um relatório do governo .
As práticas de engenharia de software e segurança cibernética da Huawei foram criticadas no relatório anual (PDF) do Centro de Avaliação de Segurança Cibernética da Huawei (HCSEC), que foi criado pelo governo do Reino Unido e pelo gigante de rede para avaliar equipamentos que serão usados em redes do Reino Unido.
O centro foi inaugurado em 2010, com o objetivo de reduzir qualquer risco potencial de usar as tecnologias da Huawei como parte da infraestrutura nacional crítica do Reino Unido. Como tal, o relatório anual HCSEC fornece uma análise detalhada dos processos de software, engenharia e segurança cibernética da empresa.
“O trabalho da HCSEC continuou a identificar questões preocupantes na abordagem da Huawei para o desenvolvimento de software, trazendo risco significativamente maior para as operadoras do Reino Unido, o que requer gerenciamento e mitigação contínuos”, disse o relatório, acrescentando que houve progresso limitado nas questões levantadas no relatório anterior .
No geral, o conselho que supervisiona o centro disse que só poderia fornecer garantia “limitada” de que todos os riscos para a segurança nacional do Reino Unido decorrentes do envolvimento da Huawei nas redes críticas do Reino Unido podem ser suficientemente mitigados a longo prazo.
“O número crescente e a gravidade das vulnerabilidades descobertas, juntamente com problemas de arquitetura e construção, pela equipe relativamente pequena em HCSEC é uma preocupação particular. Se um invasor tiver conhecimento dessas vulnerabilidades e acesso suficiente para explorá-las, elas podem ser capazes de afetar a operação de uma rede do Reino Unido, em alguns casos fazendo com que ela deixasse de funcionar corretamente “, alertou.
O relatório disse que uma falha de “importância nacional” foi descoberta durante o trabalho do HCSEC este ano.
Quando uma falha é identificada, a HCSEC geralmente a relata ao NCSC, a empresa de telecomunicações, e à Huawei para corrigi-la.
Mas o relatório observou: “Em raras circunstâncias, onde o impacto da vulnerabilidade é de significância nacional, a divulgação de todos os detalhes da vulnerabilidade à Huawei pode ser adiada para permitir que a comunidade do Reino Unido avalie e mitigue o impacto. Isso ocorreu durante 2019 . ” De acordo com a BBC , essa falha estava relacionada à banda larga – mas as autoridades não acreditam que alguém a tenha explorado.
O relatório afirma que sua descoberta se refere à competência básica de engenharia e à higiene da segurança cibernética – não a falhas introduzidas deliberadamente. “O NCSC não acredita que os defeitos identificados sejam resultado da interferência do Estado chinês”, disse o relatório.
Mas disse também que ainda existem grandes problemas de qualidade nos produtos analisados pelo HCSEC.
“Evidências sustentadas de práticas de codificação ruins foram encontradas, incluindo evidências de que a Huawei continua a não seguir suas próprias diretrizes de codificação segura interna. Isso apesar de algumas pequenas melhorias em relação aos anos anteriores”, disse o relatório.
HCSEC disse que em 2019, identificou “vulnerabilidades críticas para o usuário” em produtos de acesso fixo. Ele disse que isso foi causado por “qualidade de código particularmente ruim” e o uso de um sistema operacional antigo.
“As vulnerabilidades foram um exemplo sério dos problemas que são mais prováveis de ocorrer devido às deficiências nas práticas de engenharia da Huawei, e durante 2019 as operadoras do Reino Unido precisaram tomar medidas extraordinárias para mitigar o risco”, disse o relatório.
Embora a Huawei tenha corrigido vulnerabilidades específicas no Reino Unido, isso introduziu um problema adicional importante no produto, adicionando mais evidências de que as deficiências nos processos de engenharia da Huawei permanecem, acrescentou o relatório.
Huawei disse que continua com investimentos “significativos” para melhorar seus produtos. “O relatório reconhece que, embora nosso processo de transformação de software esteja em sua infância, fizemos algum progresso no aprimoramento de nossas capacidades de engenharia de software”, disse a empresa, acrescentando que todos os fornecedores devem ser avaliados em relação a um benchmark igualmente robusto “, para melhorar os padrões de segurança para todos”.
O relatório cobre apenas 2019. No entanto, neste ano, a posição da Huawei como um dos principais fornecedores de tecnologia de rede no Reino Unido começou a mudar significativamente. Em julho, o governo disse às operadoras de telecomunicações que suspendessem a compra de equipamentos 5G da empresa chinesa a partir de 2021, uma medida em grande parte motivada por preocupações com a segurança nacional . As empresas de telecomunicações também são obrigadas a remover toda a tecnologia da Huawei de suas redes 5G nos próximos sete anos.
Fonte: https://www.zdnet.com/article/uk-found-flaw-of-national-significance-in-huawei-tech-says-report/
