„Jeśli chcemy bić rekordy, nie warto strzelać do króliczka, którego gonimy” - rozmawiamy o bezpieczeństwie 5G
„Odcinanie się od konkurencji nie wyjdzie nam na dobre w długim okresie. Co, jeśli pozaeuropejskie firmy będą rozwijały się szybciej i za dwie dekady z naszych gigantów nie będzie co zbierać, bo zostaną daleko w tyle? To wyścig, w którym powinny obowiązywać jasne i niezmienne reguły, a o tym, kto najszybciej osiągnie metę, powinno decydować tempo zawodnika„ - mówi Rafał Jaczyński z Huawei.
Rafał Jaczyński od 23 lat zawodowo zajmuje się cyberbezpieczeństwem. Jak sam o sobie mówi, pojawia się tam, gdzie wyzwania są najcięższego kalibru. Zaczynał od budowy bezpieczeństwa sieci w Polkomtelu w 1997 roku, później podjął się postawienia na nogi cyberbezpieczeństwa w Telekomunikacji Polskiej. Odpowiadał za rozwój usług konsultingowych w sferze bezpieczeństwa w PwC na 25 rynkach i współtworzył od zera bezpieczeństwo w Staples Solutions.
Przejście do Huawei określa jako wskoczenie do okopu na pierwszej linii frontu w czasie wojny nuklearnej.
I właśnie od tego zaczynam swoją rozmowę z szefem bezpieczeństwa Huawei w regionie Europy Środkowo-Wschodniej i krajach nordyckich.
Karol Kopańko, Spider’s Web: Jak określiłby Pan swoje pierwsze miesiące w Huawei?
Rafał Jaczyński: Intensywne i różnorodne, jak to na wojnie nuklearnej – sporo się dzieje, a i widoki są ciekawe. Zabezpieczanie usług i technologii to chleb codzienny w tej roli – ale tłumaczenie i prostowanie nieścisłości w mediach oraz po stronie rządowej to już konieczność dziejowa.
A dlaczego Huawei i dlaczego akurat teraz?
Odpowiem metaforycznie. Zwykle, kiedy widzimy, jak jakaś banda kopie na ulicy słabszego, można przyłączyć się do kopanego albo do tych, którzy kopią. I teraz wyobraźmy sobie, w jakiej sytuacji było Huawei w marcu zeszłego roku…
Ciekawa paralela.
Huawei znajdowało się pod ostrzałem na wielu frontach, a mnie ciekawiła prawda. Po wielu rozmowach w środowisku i background checkach zdecydowałem się przyjąć ofertę. Dziś widzę, że jestem po właściwej stronie barykady. Przez ponad rok nie wydarzyło się nic, co sprawiłoby, że musiałbym zmienić zdanie.
Wiem, że Huawei umożliwia analizę kodu źródłowego. Czy miał Pan może okazję się mu przyglądać?
Kodu w praktyce się nie czyta, bo jego objętość jest zwyczajnie przytłaczająca. Mówimy tu nawet o 200 mln linijek kodu w jednym produkcie. Najczęściej korzysta się więc ze zautomatyzowanych narzędzi, czytając tylko to, co warto...
Nie jest to chyba powszechna praktyka, aby dzielić się swoim kodem źródłowym.
My również się nim nie dzielimy. Umożliwiamy analizę kodu wszystkim chętnym, ale nie można go wynieść na pendrivie i próbować dostosować do własnych potrzeb. Chronimy własność intelektualną i dlatego kodowi można przyglądać się jedynie w wyznaczonych do tego centrach.
Nikt z naszych konkurentów nie udostępnia w ten sposób kodu. My niejako zostaliśmy zmuszeni, aby udowadniać, że nie jesteśmy wielbłądem, ale dzięki temu przewróciliśmy stolik, pokazaliśmy, że można to zrobić, i teraz paradoksalnie Huawei jest punktem odniesienia w zakresie transparentności.
Wydaje mi się, że taka transparentność może tylko pomagać.
To o tyle odważny krok, że kiedy ktoś decyduje się odsłonić zaplecze, to ono nigdy nie wygląda idealnie. Rodzi to wyzwania natury PR-owej, czego przykładem był choćby brytyjski raport o 4G. Tamtejsze służby skorzystały z naszego laboratorium i nie znalazły żadnych backdoorów, choć miały również słuszne zastrzeżenia co do jakości kodu we wcześniejszych produktach.
5G testowali też Hiszpanie.
I przyznali nam dość wysoki poziom bezpieczeństwa według Common Criteria. Oczywiście można dyskutować, czy taka forma weryfikacji jest optymalna. Kodu jest w końcu ogrom, a środowisko wirtualne, ale i tak pod względem transparentności gramy we własnej lidze. Można zapytać operatorów, czy jeśli kupują produkty innych dostawców, to mają dostęp do kodu źródłowego...
Ale czy taka forma certyfikacji każdego typu oprogramowania przez każdy kraj oddzielnie nie będzie potocznym overkillem?
Ludzkość generalnie dzieli się na dwie grupy, co można wytłumaczyć na przykładzie kupna samochodu. Jeśli mamy wiedzę, czas i środki, to zwykle możemy wybrać się na jazdę próbną i samodzielnie testować samochód przed zakupem.
Jeśli jednak sam nie znam się na motoryzacji, to będę kierował się raczej zdaniem ekspertów i może kupię „samochód roku” według decyzji jakiegoś jury. Każdy z nas ma różne preferencje względem podejmowania takich decyzji – podobnie państwa, których rządy składają się z ludzi. Jedne, jak Wielka Brytania, wolą same testować; inne opierają się na werdyktach niezależnych laboratoriów.
A gdyby stworzyć zestaw takich standardów dla sieci 5G, które uznają np. wszystkie kraje UE?
Jesteśmy na dobrej drodze. Zawsze możemy wykorzystać standardy Common Criteria, ale w tym przypadku niestety brakuje wymagań, według których mogłyby być certyfikowane sieci piątej generacji. Unia Europejska przyjęła w zeszłym roku Cyber Security Act, który zakłada zbudowanie takich wymagań, ale wcześniej sprawy w swoje ręce wzięły dwie organizacje: Stowarzyszenie GSMA (750 operatorów) i 3rd Generation Partnership Project (3GPP).
3GPP przygotowała wymagania techniczne, a GSMA procesowe, które powinny być spełnione przez dostawców rozwiązań 5G. Tak powstała metodyka NESAS, która zakłada wykorzystanie niezależnych laboratoriów do weryfikacji sprzętu i oprogramowania 5G. Nie jest to jeszcze rozwiązanie idealne, bo wymagania nie zakładają testów penetracyjnych czy weryfikacji mechanizmów kryptograficznych – te dodane zostaną dopiero pod koniec roku. Ale właśnie na kolejnej wersji NESAS ma być oparty schemat certyfikacji urządzeń przyjęty zgodnie z Cybersecurity Act jako wspólny dla Unii Europejskiej, więc wszystko wskazuje na to, że w końcu będziemy mogli posługiwać się w rozmowie o bezpieczeństwie 5G obiektywnymi kryteriami.
A więc tam, gdzie regulatorzy się spóźnili, mamy firmy z ekosystemu, które wzięły sprawy w swoje ręce. Kiedy zobaczymy takie testy w praktyce?
Już w tym roku dostawcy powinni być przetestowani pod kątem pierwszej wersji tego standardu. Da to operatorom jasny sygnał, bo wszyscy dostawcy będą musieli przeskoczyć poprzeczkę zawieszoną na tej samej wysokości. Niezależne testy są uczciwe i opłacają się biznesowo. Zawsze lepiej ograniczyć się do jednego testu (choćby trzeba go było powtarzać co roku), niż gdyby każdy kraj miał wszystko układać samodzielnie.
A jak 5G zabezpieczać mogą operatorzy?
Sieć 5G to nie czarne pudełko, do którego operator podpina swoje linie i jedyne co robi, to liczy pieniążki. W rzeczywistości musi zbudować potężny konglomerat różnych systemów, które wspólnie dostarczają klientom ujednoliconą usługę. Dzięki temu to właśnie operator ma w ręku wszystkie sznurki, co pozwala mu zarządzać bezpieczeństwem.
Operator monitoruje sieć – wie, co się dzieje w każdym jej zakątku – i steruje dostępem, tak dla dostawców, jak i organów państwowych, np. w czasie śledztwa. To ostatnie jest zresztą ustandaryzowane, więc organy korzystają z interfejsu, który umożliwia im pozyskanie określonych danych i niczego więcej.
A gdybym miał się zabawić w adwokata diabła i zapytać: a co, jeśli w sprzęcie 5G ukryta jest luka, której jeszcze nie znaleźliśmy, a która aktywowana jest dopiero po naciśnięciu dużego, czerwonego przycisku?
Jest kilka kwestii, które czynią taki scenariusz mało prawdopodobnym. Po pierwsze, dostawcy nie mają dostępu do infrastruktury – tym steruje operator. Gdyby taki przycisk istniał gdziekolwiek na świecie, to po jego wciśnięciu powinno się stać dokładnie nic. Zero komunikacji pomiędzy zewnętrznym światem a wrażliwą infrastrukturą.
Tak jest przecież w kontekście działań służb wywiadowczych rozmaitych krajów, które mogą chcieć podsłuchiwać swoich obywateli lub obywateli innych krajów. W interesie operatorów jest zabezpieczenie swoich sieci i współpraca z organami tylko wtedy, kiedy jest to usankcjonowane przez prawo.
Po drugie, skoro operator monitoruje sieć, to zauważyłby wrogą interwencję. Jeśli tego nie widzi, to robi złą robotę. Akurat polscy operatorzy mają środki i kompetencje, więc nie traktujmy ich proszę jak bezwolnych pasażerów bez wpływu na bezpieczeństwo sieci.
Po trzecie, żadnemu dostawcy, a już na pewno dostawcy, któremu 170 państw i kilkuset operatorów patrzy na ręce, nie opłaca się implementacja backdoorów. Jedna taka wpadka skończyłaby się bowiem zniszczeniem reputacji. Kto chciałby współpracować z firmą, która oszukuje? Dlatego doświadczenie przemawia za Huawei. W ciągu tych wszystkich lat na rynku nie byliśmy odpowiedzialni za żaden incydent bezpieczeństwa wskazujący na nieuczciwe zamiary.
Trzy przykłady, z których dwa dotyczą operatorów. Można powiedzieć, że to oni głównie odpowiadają za bezpieczeństwo.
Zdecydowanie – odpowiedzialność to słowo kluczowe. W języku angielskim odpowiadają mu dwa określenia: accountability i responsibility. Pierwsze to odpowiedzialność za końcowy efekt, z której operator nie może zrezygnować. Drugie to odpowiedzialność za wykonywanie konkretnych zadań, które można outsource’ować na zewnątrz. Jednak nawet jeśli najmie się podwykonawcę, to operator na końcu będzie najważniejszym ogniwem łańcucha.
Dużo mówimy o bezpieczeństwo sieci 5G, ale nie przypominam sobie takich dyskusji w kontekście wprowadzenia 4G przed kilkoma laty.
To pozornie zaskakujące, ponieważ pierwsza faza budowy sieci 5G polega na tym, że nowa stacja bazowa 5G jest podłączona do starej sieci rdzeniowej - więc funkcjonalność jest taka sama jak w sieci czwartej generacji. Ten sam jest również poziom bezpieczeństwa.
Pozornie?
Odpowiedź na powyższe pytanie nie jest bowiem techniczna, a geopolityczna. W 4G Stany Zjednoczone przewodziły stawce, a w 5G zostają z tyłu. Czują przy tym obietnicę rewolucji, jaką wniesie nowa technologia, jednak nie są zainteresowane jej wprowadzeniem przez dostawców z innych krajów.
Słyszę o rewolucji, ale wcześniej podkreślił Pan, że 5G używało będzie starej sieci rdzeniowej.
Tak, ale słoń po to ma trąbę, żeby się tak gwałtownie nie zaczynał... sieć 5G również będzie wprowadzana etapami, dopiero w kolejnym etapie będziemy mówili o sieci rdzeniowej zgodnej z 5G. Sieć rdzeniowa to mózg sieci. W przypadku 5G można go sobie wyobrazić jako oprogramowanie, działające w chmurze prywatnej operatora. Wcześniej również było to możliwe – zwirtualizowane sieci rdzeniowe działają już w końcu również u polskich operatorów – ale w sieci 5G taka koncepcja jest podstawą standardu, co pozwala na osiągniecie niedostępnych wcześniej właściwości.
Sieć 5G ma być bowiem wykorzystywana w newralgicznych sytuacjach, takich jak np. komunikacja z autonomicznymi samochodami, które potrzebują znikomych opóźnień. Jak jednak osiągnąć opóźnienia na poziomie 1 ms? Informacja nie będzie przecież pędziła szybciej niż z prędkością światła.
Czyli aby osiągnąć ping na poziomie 1 ms musimy być blisko serwera?
Realistycznie maksymalnie 140 km, i to nie uwzględniając przetwarzania informacji. A przecież zwłaszcza w przypadku samochodów nie możemy mieć pewności, że będą tak blisko centrum sieci. Serwer z obsługującą naszą usługę aplikacją możemy przenieść na obrzeża sieci, a na tej samej infrastrukturze uruchomić oprogramowanie komunikujące się z siecią operatora, zapewniające, że ruch będzie odpowiednio kierowany. Tak działa MEC (Multi-Access Edge Cloud), którą operator może uruchomić np. na infrastrukturze firmy trzeciej... chyba że względy biznesowe i bezpieczeństwa spowodują, że zdecyduje się na budowę własnej infrastruktury.
Kluczowe jest bowiem odpowiednie zabezpieczenie tej chmury, aby jednocześnie działały w niej aplikacje kilku różnych dostawców i nie interferowały ze sobą. Chodzi o to, aby funkcja sterująca od operatora nie została zakłócona przez aplikację fabryki, która działa w tej samej chmurze.
Skoro sieć 5G nie wnosi na razie nowych wyzwań, to może są jakieś nowe usprawnienia?
Jest szereg aktualizacji bezpieczeństwa. Przykładowo, w sieci 4G możliwy był atak z przejęciem identyfikatora urządzenia. Posiadacz fałszywej stacji bazowej (kawałek antenki, odbiornik, nadajnik plus obsługujący to wszystko laptop), mógł podsłuchać naszą komunikację i wykorzystać identyfikator do celowanego ataku. Teraz będzie to niemożliwe, bo identyfikator będzie za każdym razem szyfrowany w inny sposób.
Wdrożenie standardu 5G w sieci rdzeniowej przyniesie kolejny postęp – nie będzie można na przykład w tak łatwy sposób „podmienić” przesyłanej w sieci informacji, dzięki czemu na przykład zarażenie się Pegasusem bez kliknięcia w link będzie trudniejsze niż w sieci 4G...
Natomiast największą rewolucją, którą dostrzegam, jest wykorzystanie mniej ezoterycznych technologii. Jeśli bowiem mówimy o wykorzystaniu wirtualizacji, chmury czy kontenerów, to nie są to jakieś marsjańskie technologie, specyficzne dla telekomunikacji. Jest duża grupa ludzi, którzy doskonale je rozumieją i potrafią zabezpieczać. Kiedyś ekspertów można było policzyć na palcach obu rąk. Teraz sytuacja znacznie się poprawiła.
Jeśli chodzi o największe niebezpieczeństwa, już nie tylko technologiczne? Czy obawia się Pan powstania cyfrowej żelaznej kurtyny?
Zdecydowanie, bowiem internet historycznie łączył, a nie dzielił ludzi. Także z perspektywy rozwoju, rozgraniczenie rynków może spowodować ich wolniejszy rozwój. Jeśli Nokia czy Ericsson zostaną pozbawione konkurencji ze strony Huawei’a, to zabraknie im bodźców do angażowania się w badania. Zawsze przecież będą mogły liczyć na wsparcie rządów. A przecież obie firmy i tak produkują teraz swój sprzęt i oprogramowanie w Chinach. Obie zatrudniają tysiące inżynierów w chińskich ośrodkach R&D, co stawia pytania o technologie z Chin w nowym świetle – a sens i wykonalność pomysłu rezygnacji z chińskich rozwiązań pod dużym znakiem zapytania
Uważam, że odcinanie się od konkurencji nie wyjdzie nam na dobre w długim okresie. Co, jeśli pozaeuropejskie firmy będą rozwijały się szybciej i za dwie dekady z naszych gigantów nie będzie co zbierać, bo zostaną daleko w tyle? W przeszłości to europejskie firmy przewodziły rynkowi, teraz sytuacja się zmieniła, ale nie znaczy to, że w przyszłości kolejność znów się odwróci. To wyścig, w którym powinny obowiązywać jasne i niezmienne reguły, a o tym, kto najszybciej osiągnie metę, powinno decydować tempo zawodnika. No i jeśli chce się bić rekordy, a nie wlec w ogonie, warto jednak nie strzelać do króliczka, którego gonimy.
*Materiał powstał we współpracy z Huawei.