Ministerstwo Cyfryzacji potwierdza, że Huawei złożył ustną deklarację gotowości dopuszczenia polskich ekspertów do analizy ich produktów pod kątem cyberbezpieczeństwa.
Chińskie przedsiębiorstwo planuje stworzyć w Polsce centrum cyberbezpieczeństwa, w którym dokonywana będzie analiza ich produktów z udziałem polskich ekspertów. Nie wskazano jednak bliższych szczegółów takich jak zakres, skala, terminy czy miejsca. Ministerstwo Cyfryzacji zastanawia się nad tą propozycję i w przypadku uzyskania pozytywnej opinii, rozmowy będą koncentrowały się na omówieniu szczegółów.
Wcześniej na konferencji prasowej Huawei poinformował o gotowości dopuszczenia Polski do kodów źródłowych ich urządzeń.
Wkleiłem komentarz z innego miejsca defence24.pl. Pracowałem przy tworzeniu oprogramowania dla stacji bazowej 3G Nokii/NSN i 4G Ericssona (ładna część tego oprogramowania powstaje w Polsce!). Samo oprogramowanie stacji bazowej to są miliony linii kodu produkcyjnego (a jeszcze jest Core Network). W dodatku naprawdę skomplikowanego. Dobre wdrożenie się w taki projekt to ok. 12 miesięcy w przypadku przyzwoitego transferu wiedzy. Te systemy są tworzone przez wiele lat przez tysiące programistów. Nie przesadzam. W miarę dobry programista jest w stanie "ogarniać" góra 20 tys. linii kodu nad którym aktywnie pracuje. Do tego potrzebujesz ludzi którzy dobrze znają te technologie i systemy tek klasy. Do analizy tego kodu potrzebowałbyś kilku setek programistów z Nokii i Ericssona analizujących to przez kilka lat. Jeśli backdoor jest zaprojektowany tak żeby trudno go było znaleźć (rozproszenie funkcjonalności po różnych modułach, itp) to i tak szanse na jego odkrycie byłyby minimalne. . Dodatkowo nowe wersje software'u co 6 - 12 miesięcy. Osobna sprawa że i tak nie będziesz w stanie stwierdzić czy kod który analizujesz jest faktycznie tym który działa na urządzeniu. Chyba że ty go będziesz budował i ładował na urządzenie (ale do tego potrzebujesz całą infrastrukturę). Pomijam już fakt że backdoor może być hardwarowy. O wiele efektywniejsza byłaby analiza ruchu sieciowego. Tylko że musiałbyś stworzyć odpowiedni system do tego, co znowu może oznaczać kilka lat pracy dla grupy programistów (koszty spore). Podsumowując: w praktyce szukanie backdoora w tego typu systemach jest mało realne.
To jest właśnie dla mnie przykład braku profesjonalizmu polskiej instytucji oraz znajomości tego, jak działa świat. Świat podzielony jest na strefy wpływu, czy tego chcemy czy nie. Z tym wiąże się określone korzyści oraz ograniczenia. Chiny chcą podbić świat, w myśl konfucjańskiej zasady zwyciężyć bez prowadzenia wojny, metodą faktów dokonanych, m.in. swojej dominacji w infrastrukturze IT. Otwartość kodu to nie wszystko. Podsłuchiwać i nagrywać można nie tylko oprogramowaniem ale i hardware'm, poprzez np. instalację określonego czipu do dowolnego urządzenia lub dodanie określonej, tajnej funkcjonalności do już istniejących urządzeń. Kto to będzie monitorował i śledził ? Poza tym, zawsze można zagrozić wyłączeniem infrastruktury paraliżując życie w kraju, gdyby polityka nie była po myśli Chin ? Szczególnie jeśli taka infrastruktura będzie współpracowała z systemem obronnym. Kto wtedy Chinom tego zabroni ?
Hahaha, skrajnie naiwne myślenie. Wykluczyć ich na już samym początku ze wszystkich postępować mających wpływ na bezpieczeństwo państwa.
tylko gdzie znajdą światowej klasy specjalistów ds bezpieczeństwa IT (bo tacy są potrzebni by zmierzyć się z potencjalnymi backdorami w hardwarze) gotowych pracować za ministerialna jałmużnę?