Huawei era un proveedor de tecnología chino recientemente acusado la capacidad de monitorear todas las llamadas realizadas a través del operador móvil holandés KPN. Las revelaciones vienen de Informe secreto 2010 realizado por la empresa consultora Capgemini, a la que KPN encargó para evaluar los riesgos asociados con el trabajo con la infraestructura de Huawei.
Aunque no se ha hecho público un informe completo al respecto, periodistas que cubren esta historia planteó preocupaciones específicas de que el personal de Huawei en los Países Bajos y China tenía acceso a partes críticas para la seguridad de la red de KPN, incluidos los datos sobre las conexiones de millones de ciudadanos holandeses, y que la falta de datos significa que KPN no puede determinar la frecuencia con la que esto sucede.
Tanto KPN como Huawei han negado cualquier actuación indebida, aunque desde la publicación del informe de 2010, Huawei se ha convertido cada vez más en un proveedor de alto riesgo con el que empresas de telecomunicaciones, incluida la británica Centro Nacional de Seguridad Cibernética.
Para entender mejor esta historia y considerar si es diferente redes de telecomunicaciones podría tener vulnerabilidades similares a KPN, debemos analizar cómo funcionan las redes móviles complejas. KPN esencialmente le dio a Huawei “derechos de administrador” Adicionalmente red móvil subcontratando el trabajo a una empresa china. La legislación recién ahora se está poniendo al día para prevenir brechas de seguridad similares en las telecomunicaciones.
Presión comercial
Huawei es uno de los los tres proveedores dominantes de equipos de radio en el mundo, junto con Ericsson y Nokia. Estas gigantes empresas de tecnología proporcionan estaciones base y equipos que suministran señales celulares. Operadores como KPN pagan cada vez más a estas empresas no solo por la compra de equipos, sino también por su soporte y mantenimiento.
El mercado de las telecomunicaciones en el que opera KPN es uno de los más competitivos del mundo. Los operadores móviles europeos han visto ingresos medios por usuario en 2019 14,90 € (12,85 £) al mes, en comparación con 36,90 € al mes en EE. UU. El gasto europeo en servicios de telecomunicaciones también reducción Todos los años cuando los operadores compiten ofreciendo a los consumidores las mejores ofertas.
Los menores ingresos obligan a los operadores a administrar los costos con cuidado. Esto significa que los operadores estaban dispuestos a subcontratar parte de sus actividades a terceros, especialmente desde finales de la década de 2000.
Tener una gran cantidad de ingenieros altamente calificados es un pasivo costoso en el balance y, a menudo, puede sentirse inutilizado cuando todo funciona sin problemas. Este trabajo a menudo se subcontrata traslados de personal proveedor subcontratado para ayudar a los operadores a reducir los costos de nómina.
La subcontratación ha ido demasiado lejos
Cuando todo funciona, muy pocas personas notan la subcontratación. Pero cuando algo sale mal, la subcontratación a menudo puede complicar significativamente la recuperación o crear un gran “punto único de falla” o un problema de seguridad.
Por ejemplo, en el Reino Unido, se observó al operador de telefonía móvil O2 al menos una falla que estaba relacionado con el uso de funciones subcontratadas. Donde una gran cantidad de operadores confiar en el mismo socio de subcontratación, cualquier problema o brecha de seguridad que afecte al proveedor subcontratado puede tener consecuencias de gran alcance.
A pesar de esto, la subcontratación por parte de los operadores móviles está muy extendida. Las empresas del Reino Unido y de toda Europa a menudo han solicitado la entrega de Huawei. Servicios de TI y ayuda a construir redes troncales. En 2010, Huawei administró las funciones fundamentales de seguridad de KPN.
Acceso de administrador
Al mismo tiempo, los proveedores de hardware como Huawei están tratando de pasar de la simple venta de hardware a la entrega servicio gestionadoincluyendo instalación, mantenimiento y soporte. Esto les ayuda a generar ingresos consistentes en una industria que generalmente está dominada por grandes ciclos de compra de cinco o diez años.
Sin embargo, cuando estos proveedores agregan servicios a su repertorio, obtienen un acceso más amplio a las redes celulares con las que trabajan. Esto puede incluir algunas partes críticas para la seguridad Redes de telecomunicaciones que a menudo están diseñadas para operar en entornos seguros y confiables.
En un escenario en el que un proveedor como Huawei también brinda un servicio administrado, se encuentra en una posición extremadamente privilegiada para tener conocimiento interno de su propio hardware y acceso directo a interfaces de administración confiables.
Esto crea el equivalente de alta tecnología a poner todos los huevos en una canasta. Esto es similar a entregar una combinación de bóveda de un banco al mismo guardia de seguridad responsable de las imágenes de CCTV. Es difícil monitorear de manera confiable las operaciones de un proveedor sin depender de un software propietario.
En los casos en que se haya designado a un vendedor como de alto riesgo como resultado de ellos propias prácticas de seguridad del producto, es muy difícil saber si el vendedor ha hecho algo incorrecto. Esta fue claramente la situación para el KPN de Huawei en 2010.
¿Se necesitan cambios?
Con al menos un operador con el objetivo de reducir el gasto operativo europeo mediante 1.200 millones de eurosy las implementaciones de 5G, que brindan nuevas oportunidades para servicios administrados y soluciones de software para su uso en redes, las decisiones de subcontratación continuarán desempeñando un papel importante para los futuros operadores móviles.
Pero la legislación se está poniendo al día rápidamente. Gran Bretaña ha propuesto factura de seguridad de telecomunicacionesy relacionado proyecto de derecho secundario contiene requisitos para que los operadores de red monitoreen todas las actividades realizadas por proveedores externos, identifiquen y administren los riesgos asociados con su uso, así como tengan un plan de mantenimiento normal la red operaciones si se interrumpe el servicio del proveedor.
Con algunos operadores, puede imaginar que esto podría significar traer de vuelta las habilidades clave al negocio para asegurarse de que alguien esté vigilando a los guardias (contratados). En el caso de KPN, estas medidas probablemente evitarían que Huawei tenga un acceso aparentemente incontrolado y privilegiado a los datos móviles de sus clientes.
Entregado por
Conversacion
Este artículo se volvió a publicar con Conversacion bajo una licencia Creative Commons. Leer artículo original.