Il bando di Huawei aumenta i rischi alla sicurezza. Parola di Google
La vicenda di Huawei, bandita dalle esportazioni negli Stati Uniti, sta scuotendo il mondo della tecnologia e i big player del settore si sentono chiamati in causa. Primo su tutti, Google, naturalmente. Secondo quanto riportato dal Financial Times, la scorsa settimana Google ha avvisato l’amministrazione Trump che il suo attuale divieto di esportazione verso Huawei potrebbe mettere a repentaglio la sicurezza nazionale, costringendo Huawei a creare una versione non sicura del suo sistema operativo Android.
Tale divieto è stato imposto nell’ambito di una iniziativa del Dipartimento del Commercio, annunciata a metà maggio, che collocava il gigante cinese delle telecomunicazioni in una “lista nera” delle esportazioni verso gli Stati Uniti. Il motivo di fondo sono i presunti tentativi di spionaggio per conto del governo cinese. Nella lista compaiono altre due società – il gigante delle telecomunicazioni ZTE e il produttore di chip di memoria Fujian Jinhua Integrated Circuit – e l’amministrazione sta considerando di aggiungere la società di videosorveglianza HikVision.
Due giorni prima che l’avvertimento segnalato da Google fosse reso pubblico, il Washington Post ha pubblicato i risultati di un sondaggio su 100 esperti di sicurezza informatica appartenenti al mondo accademico, al settore privato e a quello pubblico. LA maggioranza degli esperti ha concluso che il divieto finirà per danneggiare le aziende tecnologiche statunitensi e diminuirà ulteriormente l’influenza degli Stati Uniti sulla sicurezza di nuovi prodotti. Uno degli esperti, l’ex capo della sicurezza di Facebook Alex Stamos, ora ricercatore presso la Stanford University, ha affermato che il bando potrebbe far sì che la Cina “si imponga come la nazione più importante nella tecnologia consumer”.
L’azione del Dipartimento del Commercio segue l’ordine esecutivo della Casa Bianca che blocca i servizi di telecomunicazione e le apparecchiature di rete da parte di aziende straniere negli Stati Uniti, una direttiva che è in gran parte rivolta a Huawei e alla sua rivale cinese ZTE. Entrambe queste azioni, a loro volta, seguono l’emanazione del National Defense Authorization Act del 2019, che contiene disposizioni che vietano al governo federale di acquistare attrezzature da alcuni vendor cinesi a causa di problemi di sicurezza.
La controversa presenza di Huawei negli USA e in Europa
Questi ultimi interventi su Huawei (e altri fornitori cinesi di tecnologia) sono il culmine di oltre un decennio di crescenti preoccupazioni sui rischi per la supply chain legate a Huawei. Nel 2005 un report d Rand Corporation, commissionato dall’Air Force, segnalò preoccupazioni sui legami della società con l’esercito cinese. Nel 2012 un altro ente governativo, l’House Permanent Select Committee on Intelligence, ha emesso un rapporto che metteva in guardia contro l’uso della tecnologia di Huawei e ZTE.
Nel 2018, il colosso AT&T ha rinunciato ai suoi piani di diventare la prima compagnia mobile degli Stati Uniti ad offrire telefoni Huawei, dopo che i legislatori l’hanno messo in guardia contro Huawei. Poco dopo, il Pentagono ha vietato la vendita di telefoni Huawei e ZTE nei negozi della base militare.
Nel frattempo Huawei è stata coinvolta in altre controversie, tra cui la presunta violazione delle sanzioni commerciali contro l’Iran. La faccenda si è conclusa con l’arresto di Meng Wanzhou, figlia del co-fondatore della società Ren Zhengfei.
Quest’anno, l’amministrazione Trump ha fatto pressioni sui governi stranieri per bandire Huawei dalle loro reti telefoniche wireless di nuova generazione. Una richiesta pesante, considerando che Huawei è leader nella tecnologia mobile 5G. L’Australia e il Giappone sono tra i primi paesi che hanno vietato o limitato i prodotti Huawei a porzioni “non core” delle loro reti.
In Europa, dove Huawei ha guadagnato una solida posizione, la situazione è diversa, almeno per il momento. Nei Paesi Bassi, il principale operatore wireless KPN ha scelto Huawei come fornitore di apparecchiature per la sua rete 5G. Portogallo e Germania si stanno orientando a favore dell’utilizzo di Huawei nelle loro reti 5G, mentre gli altri Paesi europei stanno procedendo con cautela.
La Russia ha stretto un accordo con Huawei per realizzare la prima rete 5G del Paese in collaborazione con il carrier MTS.
Sorveglianza e supply chain IT
Tutti questi sviluppi si basano su una ragionevole preoccupazione. Secondo la legge cinese Huawei, ZTE e qualsiasi altra società tecnologica sono obbligate a fornire assistenza nel lavoro di intelligence e a consegnare qualsiasi dato o informazione richiesti dal governo di Pechino. Nonostante le assicurazioni di Huawei che non costruirà backdoor di sorveglianza o consegnerà dati al governo cinese, la legge sulla sicurezza nazionale del Paese del 2017 e la legge sul contro-spionaggio del 2014 impongono loro di farlo.
Rimane la domanda, tuttavia, se gli sforzi per bandire e cacciare i fornitori cinesi di tecnologia affrontino efficacemente la principale preoccupazione di fondo, ovvero che Huawei e le altre aziende cinesi stiano impiantando sorveglianza e altre tecnologie indesiderate nella supply chain IT su ordine di Pechino. Una domanda correlata è se questi sforzi non facciano altro che danneggiare la sicurezza, come suggerisce il recente ricorso di Google.
Molti esperti ritengono che il mondo si sia evoluto oltre il punto in cui il blocco di un qualsiasi fornitore, o Paese specifico, non può impedire a un avversario di infiltrarsi nella supply chain. L’enorme numero di player che operano nell’attuale infrastruttura digitale di tutti i Paesi rende straordinariamente difficile bloccare non solo i malware legati alla Cina, ma qualsiasi potenziale malintenzionato che voglia impiantare tecnologie indesiderate.
“Internet, dopo tutto, riguarda l’interconnessione di reti disparate; impedire l’importazione di l’hardware cinese non significa bloccare il codice digitale di origine cinese”, hanno commentato gli esperti Robert Williams e Tom Wheeler in una pubblicazione su Lawfare nel febbraio 2019. Robert Williams è direttore del Paul Tsai China Center presso la Scuola di Legge di Yale mentre Tom Wheeler, ex presidente della FCC, è ora professore presso la Brookings Institution e presso l’Harvard Kennedy School.
Huawei, ovviamente, è d’accordo. “Il blocco di una singola azienda non rende il cyberspazio, o l’America, più sicuro, perché oggi si promuovere l’interoperabilità“, spiega Andy Purdy, CSO di Huawei Technologies USA. “Uno dei messaggi fondamentali che abbiamo diffuso sia pubblicamente che nelle nostre comunicazioni alla FCC è che esiste un rischio reale alla cybersicurezza. La minaccia dal più sofisticato degli stati-nazione è molto reale”.
Un approccio di gestione del rischio
Quello che funzionerebbe meglio a lungo termine, secondo Purdy, è un approccio completo alle minacce della supply chain basate sulla gestione del rischio.
Williams e Wheeler sarebbero d’accordo. “Il governo degli Stati Uniti dovrebbe spingere tutti gli stakeholder a sviluppare approcci comuni alla diversificazione della supply chain, per assicurare un processo internazionale di standardizzazione 5G aperto e trasparente, e per promuovere accordi volontari sugli standard di sicurezza”, hanno scritto su Lawfare. “Indipendentemente dal fatto che a Huawei venga vietato di costruire un’infrastruttura di rete 5G negli Stati Uniti, le reti e le apparecchiature cinesi si collegheranno alle reti americane, quindi gli Stati Uniti devono adottare misure proattive per far fronte a questo problema”.
A breve termine, però, Huawei sta cercando di ottenere dal governo qualcosa di simile agli accordi di sicurezza nazionale che hanno stipulato una serie di società tecnologiche straniere, come Nokia ed Ericsson. “Speriamo che il governo sia disposto a dialogare con noi”, ha sottolineato Purdy. “In questo momento, riteniamo di poterci accordare su meccanismi di mitigazione del rischio”.
Huawei potrebbe avere qualche chance di essere ascoltata, stando a una recente dichiarazione di Donald Trump. In una trasmissione televisiva della CNBC, Trump ha detto che avrebbe riconsiderato le sanzioni imposte a Huawei, nell’ambito di un accordo commerciale con Pechino.
Naturalmente anche queste affermazioni hanno suscitato reazioni contrasti. Alcuni esperti di sicurezza, infatti, ritengono che l’utilizzo strumentale di Huawei come moneta di scambio nei colloqui commerciali è preoccupante. Il messaggio che passa, secondo loro, è che le valutazioni di sicurezza del governo sono politiche, e non basate su una approfondita analisi delle minacce.
La partita, quindi, è ancora aperta.