Huawei om kritisk rapport: Et værdifuldt input

Kinesiske Huawei ser kritisk rapport med britisk efterretningstjeneste som afsender som et værdifuldt input.

Huawei tager de britiske myndigheders bekymringer i forhold til virksomhedens evne til at lave pålidelig software alvorligt. Det fremgår af en skriftlig udtalelse, som Huawei har sendt til Version2.

I går udsendte et udvalg med den britiske efterretningstjeneste GCHQ i spidsen en årlig evalueringsrapport i forhold til samarbejdet mellem Huawei og de britiske myndigheder. Samarbejdet er manifesteret i form af Huawei Cybersecurity Evaluation Center (HCSEC). Centeret har til formål at gennemgå procedurer og produkter hos Huawei i et forsøg på at sikre den britiske teleinfrastruktur.

Læs også: Britiske hug til Huawei for at have dårligt styr på softwareudvikling

Evalueringsrapporten kritiserer kort fortalt Huawei for ikke at have styr på sin softwareudvikling på en række punkter. Samtidig bliver det også påpeget i rapporten, at britiske National Cyber Security Center(NCSC) (en del af GCHQ) ikke mener, sikkerhedsproblemerne hos Huawei i forhold til softwareudvikling-processerne skyldes påvirkning fra den kinesiske stat.

De senere år har flere vestlige lande udtrykt bekymring i forhold til Huaweis rolle, hvad angår opbygningen af kritisk teleinfrastruktur. En del af disse bekymringer går på, at virksomheden kan spionere på vegne af den kinesiske stat.

For en god ordens skyld skal det her nævnes, at udsagnet om den kinesiske stat i GCHQ-rapporten umiddelbart heller ikke kan læses som en generelt frifindelse i forhold til den statslige spionage-bekymring. Sikkerhedsproblemerne, rapporten peger på, menes ifølge NCSC blot ikke at skyldes statslig påvirkning.

Tager bekymringer alvorligt

»We understand these concerns and take them very seriously. The issues identified in the OB (Huawei Cybersecurity Evaluation Center Oversight Board, red.) report provide vital input for the ongoing transformation of our software engineering capabilities. In November last year Huawei's Board of Directors issued a resolution to carry out a companywide transformation programme aimed at enhancing our software engineering capabilities, with an initial budget of US$2bn (ca. 13,3 mia. kroner),« lyder det i den skriftlige udtalelse fra Huawei som fortsætter:

»A high-level plan for the programme has been developed and we will continue to work with UK operators and the NCSC during its implementation to meet the requirements created as cloud, digitization, and software-defined everything become more prevalent. To ensure the ongoing security of global telecom networks, the industry, regulators, and governments need to work together on higher common standards for cyber security assurance and evaluation.«

OpenSSL

Washington Post har talt med Matthew Green, en sikkerhedsforsker ved John Hopkins University. Han har overfor det amerikanske medie tolket rapporten som en melding til Huawei om, at virksomheden ikke kan kode, om det så gjaldt livet.

Green har blandt andet hæftet sig ved, at rapporten kommer ind på, at der findes adskillige kopier af fire forskellige versioner af krypterings-frameworket OpenSSL i noget af Huaweis software.

»Det er problematisk, fordi nogle ældre udgaver af OpenSSL har sårbarheder, hvilket betyder, at kryptografien kan være upålidelig,« siger han til Washington Post.

I en kort kommentar til Version2 i forhold til de britiske myndigheders kritik, skriver systemudvikler Poul-Henning Kamp, at han endnu ikke har læst rapporten igennem. Men i forhold til OpenSSL-virvaret har han denne kommentar:

»Som et minimum står det klart, at der ikke er nogen central arkitekt på projektet til at stoppe den slags dumhed.«

Derudover tilføjer systemudvikleren, at han er »meget langt fra at være overrasket.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere