Op het moment dat Huawei bijna dagelijks Amerikaanse beschuldigingen moet ontkennen, opent het bedrijf een transparantiecentrum in Brussel, en geeft het ons een blik in haar Chinese Cybersecuritylab. “Wat we hier afkeuren, komt gewoon niet op de markt, ” klinkt het.
Huawei doet er alles aan om te tonen dat het een betrouwbare partner is voor de rest van de wereld. In Brussel opende het begin maart het Cyber Security Transparency Center, waar klanten, partners en overheden de technologie van het bedrijf kunnen inkijken. Het bedrijf heeft zes van deze centra wereldwijd (in China, Canada, Dubai, het Verenigd Koninkrijk en Bonn) maar het Brusselse is het enige in Europa dat het bedrijf op eigen houtje organiseert en waarbij het focust op transparantie.
Is er veel te zien in dat center? Ja en neen. Een groot deel van de ruimtes zijn relatief saai ogende kamers, maar het is daar waar klanten of overheden de broncode mogen inkijken of apparatuur mogen testen. Die broncode staat niet fysiek in Brussel, maar in het Cybersecurity Lab in Shenzhen en is vanop afstand in te kijken.
Het toeval wil dat Data News kort na de opening van het center de fabrieken van Huawei (zie pagina 78) in Shenzhen kon bezoeken, en daarbij ook het Independent Cybersecurity Lab (ISCL) mocht bezoeken.
Dat lab is sinds 2013 operationeel en telt vandaag 137 mensen. Doel: alle apparatuur en bijhorende software testen en onderzoeken op mogelijke securityproblemen. Het labo opereert volledig onafhankelijk van de rest van Huawei en ondersteunt John Suffolk, Huawei’s hoofd cybersecurity en privacy. Samen rapporteren ze aan de GSPC (Global Cyber Security & Privacy Council) die rechtstreeks aan de CEO rapporteert. Kort samengevat geeft het een ‘go’ of ‘no go’ aan producten en het is daarbij niet gebonden aan de sales, R&D of andere afdelingen van het bedrijf.
Er zijn twee soorten weigeringen: eentje waarbij het product moet worden herbekeken, en eentje waarbij een product helemaal niet op de markt mag komen. Sinds 2013 is dat vetorecht zo’n honderd keer gebruikt.
Het is ook hier dat de broncode wordt bewaard, in een ruimte waar ook wij niet zomaar binnen mogen. De metaaldetector en de bordjes die camera’s, laptops en telefoons verbieden maken alvast duidelijk dat u hier niet zomaar binnenwandelt. Het is vanaf deze plek dat centra zoals dat in Brussel verbinding maken om klanten inzage te geven. “Die loopt via een privé- verbinding aangevuld met VPN en extra encryptie. Daar bovenop doen we ook controle op anomaliteiten op de verbinding. We zijn heel strikt in het management ervan, ” aldus Wang Jin, hoofd van ICSL.
Hoe werkt zo’n controle?
Eerst en vooral volgt Huawei een hele reeks standaarden voor de eigen organisatie. ISO 27000 (informatieveiligheid), ISO 9001 (kwaliteitsmanagement), ISO 28000 (security management systemen) enzovoort. Het lab zelf volgt ISO 17025, een managementstandaard rond de vereisten om zaken te testen en kalibreren, die haar onafhankelijkheid moet garanderen.
Het testen van de apparatuur gebeurt volgens een principe dat Huawei zelf omschrijft als ‘many hands & many eyes’. Zo worden software en code getest met 66 mainstream tools uit de securitysector (we zien onder meer BurpSuite, Nessus, Appscan en anderen op de slides passeren). Daarnaast schakelt het bedrijf ook verschillende open source tools in zoals Wireshark, Openvas, Hping, Sulley, en zijn er zelf ontwikkelde tools, zoals Socker.
De testen zelf worden uitgevoerd door een team van IT-specialisten die in hun domein de nodige trainingen hebben gevolgd. Dat kan specifiek gaan om Oracle-databases, SQL of andere domeinen.
Hoe lang het duurt om een toestel te testen, hangt af van het product en de ervaring van het team. Twee mensen die een nieuw (of voor hen onbekend) product testen zullen er gemiddeld drie maanden over doen. Als ze al ervaring hebben met het product dan is dat doorgaans twee maanden. Ook updates en aanpassingen worden telkens langs ISCL gestuurd ter nazicht.
Bij het bezoek aan ISCL wandelen we ook doorheen de kantoren waar tientallen specialisten vanaf hun bureau op zoek gaan naar problemen met de producten. Een kamer verder lopen we door een datacenter waar een deel van de apparatuur live draait om de testen in realistische omstandigheden uit te voeren.
Maar hoe zit dat met transparantie naar de klant toe? “Klanten krijgen ook onze rapporten, maar als ze apparatuur aanschaffen staat het hen uiteraard vrij om zelf verder te testen, ” legt Wang uit.
Software of firmware volledig opengooien voor iedereen is echter geen optie volgens Wang. “Elk bedrijf heeft zijn intellectueel eigendom, daarom is het voor ons niet mogelijk om zomaar alles openbaar te maken. Maar we geven in zover het mogelijk is wel inzage en we werken via best practices, vaak in samenwerking met onze klanten en partners. Klanten kunnen hier de broncode inkijken en we halen certificaten om te bewijzen dat we een veilige betrouwbare partner zijn.”
Fout opgemerkt of meer nieuws? Meld het hier