Trwająca wojna handlowa między Stanami Zjednoczonymi a Chinami dotknęła firmy w obu krajach, ale żadna firma nie była tak czujna jak chiński gigant telekomunikacyjny Huawei.
Huawei znalazł się w centrum globalnej debaty, podczas której prezydent Trump podpisał rozporządzenie wykonawcze zabraniające amerykańskim firmom kontaktów z tą firmą i innymi zagranicznymi dostawcami, co mogłoby stanowić zagrożenie dla bezpieczeństwa narodowego.
Pomimo obecnego zamieszania Huawei nadal prowadzi oddział w Stanach Zjednoczonych, oferując rozwiązania konsumenckie, biznesowe i telekomunikacyjne na terenie całego kraju.
Firma LaComparacion Pro rozmawiała z Andym Purdym, specjalistą ds. bezpieczeństwa Huawei w USA, aby dowiedzieć się więcej o jej działalności w Stanach Zjednoczonych oraz o tym, jak rządy i firmy mogą lepiej ograniczać ryzyko.
Jaka jest Twoja rola jako menedżera ds. bezpieczeństwa w Huawei USA?
Moja rola jako OSC oznacza, że jestem odpowiedzialny za działania związane z cyberbezpieczeństwem i prywatnością w Stanach Zjednoczonych. Przewodniczę Komisji ds. Cyberbezpieczeństwa i Bezpieczeństwa Huawei USA, składającej się z przedstawicieli różnych grup i działów, aby mieć pewność, że w pełni rozumiemy i przestrzegamy wymogów dotyczących cyberbezpieczeństwa i poufności oraz chronimy naszych klientów i Huawei, ze szczególnym naciskiem na to, w jaki sposób żądamy i jak realizujemy uzyskać dostęp do sieci i danych klientów.
Komitet ten pełni funkcję zgodności w zakresie zarządzania prywatnością i ryzykiem cybernetycznym, a jego celem jest przyczynianie się do opracowywania zmieniających się wymagań. Chcemy mieć pewność, że postępujemy zgodnie z amerykańskimi przepisami i regulacjami oraz spełniamy wyjątkowe wymagania i potrzeby naszych klientów. Odnosi się to do naszej działalności w zakresie urządzeń operatorskich, korporacyjnych i konsumenckich. Komisja ściśle współpracuje z naszym zespołem ds. relacji z rządem i public relations w zakresie przekazywania wiadomości i zrozumienia konkretnych wymagań.
Czy sądzisz, że doświadczenie w pracy dla rządu USA pomogło Ci przygotować się do obecnej pracy, a jeśli tak, to w jaki sposób?
Bardzo dobrze znam amerykańskie ramy prawne dotyczące cyberbezpieczeństwa, prywatności i regulacji, a także podejście oparte na ryzyku zalecane przez USG, jej agencje, partnerstwo publiczno-prywatne oraz federalną grupę doradczą ds. komunikacji FCC (CSRIC – Cybersecurity, Reliability and Resilience Komisja). Konieczne jest skuteczne, przejrzyste i oparte na ryzyku podejście, aby zapewnić ubezpieczenie i przejrzystość w amerykańskim i światowym sektorze telekomunikacyjnym, a nie tylko wymagania dostawcy sprzętu takiego jak Huawei, zaopatrującego operatorów telekomunikacyjnych w Stanach Zjednoczonych.
(Zdjęcie: Pixabay)
W jaki sposób rządy mogą najlepiej łagodzić zagrożenia bezpieczeństwa?
Cyberbezpieczeństwo nie jest pracą dla jednej osoby. Połączone sieci wpływają na wszystkich członków komunikacyjnego łańcucha dostaw. Rząd może pomóc we wspieraniu współpracy między sektorem publicznym i prywatnym w celu opracowania i wzmocnienia mających zastosowanie standardów i najlepszych praktyk, w tym zainteresowania wykorzystaniem narzędzia pomagającego sektorowi publicznemu i prywatnemu. analiza ryzyka, taka jak Ramy Cyberbezpieczeństwa NIST, w celu zdefiniowania wymagań i oceny ryzyka. Pomaga to w określeniu odpowiedniego profilu ryzyka organizacji w oparciu o jej cele biznesowe i środowisko ryzyka, a także pomaga w podejmowaniu decyzji i wyznaczaniu dalszej ścieżki prowadzącej do osiągnięcia bardziej odpowiedniego profilu ryzyka.
W tym względzie rząd może promować zrozumienie wspólnej odpowiedzialności operatorów telekomunikacyjnych i dostawców sprzętu za ocenę ryzyka, zarządzanie ryzykiem i promowanie odporności, a wszystko to w przejrzysty sposób. Ze względu na możliwości złośliwych cyberprzestępców oraz słabe punkty sieci i systemów konieczne jest podejście całościowe. Dlatego testowanie produktów jednej firmy nie jest oczywiście ogólnym podejściem niezbędnym do zarządzania ryzykiem cyberbezpieczeństwa i w niewielkim stopniu, jeśli w ogóle, przyczynia się do stworzenia ram. lub zestaw uznanych międzynarodowo standardów i procesów dotyczących ryzyka sieciowego. Zapewnienie lub potwierdzenie przestrzegania przez kierownictwo lub niezależną organizację obowiązujących standardów i najlepszych praktyk.
W tym względzie rządy mogą działać na rzecz promowania ram ubezpieczeniowych, które dopuszczają i wymagają mechanizmów zapewniających obiektywną i przejrzystą gwarancję niezawodnych produktów. Krótko mówiąc, potrzebujemy ram pewności i mechanizmów „zaufania poprzez weryfikację”, w ramach których wszyscy muszą przestrzegać tych samych standardów i innych wymagań.
(Zdjęcie: Pixabay)
Jak myślisz, dlaczego dla firm ważne jest, aby ich kody były oceniane przez osoby trzecie?
Niezależne testowanie produktów i oprogramowania jest istotnym elementem skutecznych i przejrzystych ram zapewniania, które powinny mieć zastosowanie do operatorów telekomunikacyjnych, dostawców sprzętu i innych dostawców zewnętrznych. Biorąc pod uwagę poziom ryzyka, jaki stanowią sieci informacyjne i komunikacyjne, ważne jest, aby organizacje zewnętrzne oceniały i potwierdzały bezpieczeństwo produktów i zachowanie dostawców w ekosystemie, tak aby użytkownicy i rządy miały obiektywną i przejrzystą podstawę, aby wiedzieć, co robić. Produkty są niezawodne.
Ramy zapewniania bezpieczeństwa, oparte na uznawanych na arenie międzynarodowej standardach i niezależnych programach zgodności, pomagają chronić rządy, przedsiębiorstwa i konsumentów przed zagrożeniami oraz promować odporność naszych sieci i systemów komunikacyjnych. Struktury te mogą zapewniać ciągły wkład w aktualizację wymagań w miarę ewolucji krajobrazu zagrożeń.
Jakie są według Ciebie największe zagrożenia cyberbezpieczeństwa, przed którymi stoją dziś przedsiębiorstwa, i czy pojawiają się jakieś zagrożenia, które Twoim zdaniem mogą stanowić poważne ryzyko w przyszłości? ?
Do najważniejszych zagrożeń należą zagrożenia bezpieczeństwa narodowego, których celem jest kradzież własności intelektualnej i umożliwienie wrogim państwom narodowym zamknięcia sieci i systemów niezbędnych do prawidłowego funkcjonowania administracji publicznej i infrastruktury krytycznej. Ataki ransomware podkreślają znaczenie posiadania przez organizacje rządowe i prywatne dokładnych i dostępnych informacji, od których zależy prawidłowe funkcjonowanie firm i organów publicznych. Kluczowe dane muszą być bezpiecznie i dokładnie chronione oraz często tworzone ich kopie zapasowe, aby zapewnić szybkie ich odzyskanie i przywrócenie kluczowych usług.
(Zdjęcie: Pixabay)
Czy sądzisz, że sztuczna inteligencja wkrótce odegra większą rolę w cyberbezpieczeństwie?
Ulepszona analiza komputerowa, możliwa dzięki Big Data i sztucznej inteligencji, ułatwi wczesne i dokładne wykrywanie luk i działań. Będzie to zachętą do reagowania na to wykrycie, pomagając minimalizować ryzyko, ograniczać potencjalne konsekwencje wrogiej penetracji oraz promować odporne sieci i systemy. Oczekuje się również, że sztuczna inteligencja ułatwi przewidywanie, wykrywanie, ostrzeganie i łagodzenie działań na długo przed penetracją obwodu, w tym identyfikację robotów i sieci. zombie, a także pomaga w przydzielaniu i blokowaniu ataków i czynności.