Op bezoek bij Huawei in Shenzhen: cybersecurity, broncode en vetorecht

In een poging om transparanter te zijn, zet Huawei zijn deuren open voor journalisten van over de hele wereld. Permanent gesloten deuren worden uitzonderlijk geopend. Eén zo’n deur is die van het Independent Cyber Security Lab (ICSL) in Shenzhen.

Gelukkig wordt de wereldwijde pers niet allemaal tegelijk uitgenodigd. Als Belgische pers werden we apart ingevlogen naar Shenzhen in China, de hoofdzetel van Huawei. Een bezoek in intieme kring, zodat we zonder beperkingen vragen kunnen stellen. Eerder publiceerden we al een blik achter de schermen van het assemblageproces van de smartphones van Huawei.

 

We mochten geen foto’s maken van de diverse R&D-sites en het cyberveiligheidsinstituut.

 

Enig nadeel: we mochten geen foto’s maken. Het is dus geen fotoreportage geworden, maar we doen ons best om alles zo duidelijk mogelijk te omschrijven.

Zeldzame gebeurtenis

Overal waar we komen is de communicatie duidelijk: geen smartphones of geen laptops mee naar binnen nemen. De specialisten die ons te woord staan zijn dikwijls zenuwachtig. Deze opendeurdag is uitzonderlijk en ze zijn het duidelijk niet gewoon om met pers te praten. Heel af en toe krijgen we vlot Engels voorgeschoteld, maar meestal is het gebrekkig Engels of wordt er simultaan uit het Chinees vertaald.

De rondleiding is tot in de puntjes geregeld met duidelijk gecommuniceerde tijdsloten. Heel wat deuren die we passeren, blijven gesloten. Er is te weinig tijd om alles te zien en ter plaatse improviseren om toch één bepaalde deur te openen, is niet aan de orde. We zitten in het hart van het bedrijf en heel wat locaties bevatten te veel gevoelige informatie voor onze oren en ogen.

Tijdens ons bezoek zien we naast het assemblageproces ook diverse R&D-sites en het ICSL. We focussen nu vooral op ICSL, vanwege de actuele focus op cyberveiligheid. Het is niet toevallig dat Huawei ons hier een tour wil geven.

Openbron en in-house software

We worden rondgeleid door Wang Jin, hoofd van het ICSL. Hij steekt direct van wal dat R&D en het ICSL compleet verschillend zijn. “Cybersecurity staat los van elke andere koepel binnen Huawei en rapporteert onafhankelijk. Voor ons is veiligheid belangrijker dan financieel gewin.” De toon is onmiddellijk gezet voor de rest van de rondleiding.

 

“Voor ons is veiligheid belangrijker dan financieel gewin.”

 

Wereldwijd werken er meer dan 1.500 fulltime werknemers aan het veiligheidsluik van Huawei-producten. Er wordt gegooid met talrijke certificaten, waaronder ISO 27001, ISO 17025, ISO CCC, enzovoort. In het ICSL werken er 137 mensen. Tot op vandaag zijn er 39.066 updates en patches gemaakt. Huawei heeft de afgelopen jaren 251 5G-voorstellen aan 3GPP voorgesteld om mee aan de standaard te bouwen.

De werknemers gebruiken vandaag diverse tools om cyberveiligheid te testen en garanderen. 19 ervan zijn commercieel, 44 tools openbron en 35 tools werden in-house ontwikkeld. Dat laatste gebeurt meestal om een hogere efficiëntie te bereiken wanneer beschikbare tools niet goed genoeg zijn.

Vetorecht

Aan het hoofd van cyberveiligheid wereldwijd staat John Suffolk, Senior Vice President en Global Cyber Security & Privacy Officer (GSPO). Hij krijgt binnen het bedrijf een vetorecht. In totaal heeft hij sinds zijn aanstellen in 2011 al meer dan 100 keer zijn vetorecht gebruikt. Wang Jin: “Dat betekent niet dat hij al meer dan 100 producten heeft geschrapt. Er zijn twee soorten vetorecht binnen het bedrijf. Soms kan er mits wat aanpassingen toch een product worden goedgekeurd. Dan verschijnt het product alsnog op de markt. Er is ook een harder vetorecht, waardoor het product onmiddellijk wordt geschrapt. Meestal gaat het dan om fundamentele fouten die niet kunnen worden opgelost.”

Volgens Huawei is cyberveiligheid een vorm van risicomanagement. Iedere nieuwe softwareversie brengt nieuwe risico’s met zich mee. “De gemiddelde testtijd voor een nieuw product duurt drie maanden,” zegt Wang Jin. “De standaard is twee maanden, maar nieuwe apparaten vereisen een extra maand om de architectuur te leren kennen.”

 

“Achter deze zwaarbeveiligde zone zit de broncode van al onze software- en hardwareoplossingen.”

 

Het hart van het ICSL is een enorme open ruimte met ongeveer 100 bureaus. Daar verwerken specialisten de code. Elke tester heeft twee pc’s op zijn bureau. De ene is verbonden met het interne bedrijfsnetwerk, terwijl de andere een internetconnectie heeft. In totaal dekt het ICSL een oppervlakte van 700 m² en huisvest het 170 servers met 750 virtuele machines.

Ultraveilige zone: broncode

Tijdens onze tour botsen we ineens op een heel duidelijk afgebakende zone met heel wat verbodsborden. Je mag geen smartphone meenemen of eender welke mediadrager. Om de hoek zien we nog net een metaaldetector staan en een bewakingsofficier. In twee hoeken hangen camera’s.

“Achter deze beveiligde zone zit de broncode van onze software- en hardwareoplossingen,” zegt Wang Jin opeens serieus. “Hier kan de broncode worden geraadpleegd en getest. Het nieuw geopende cyberveiligheidscentrum in Brussel laat dat ook toe, maar daar zit fysiek geen broncode. Die zit hier bij ons. Brussel linkt via een VPN met encryptie naar deze gevoelige code.”

Huawei benadrukt dat ondanks de encryptie ook naar elke VPN-lijn wordt gekeken om te zoeken naar abnormaliteiten.

Enkel software

Ondanks de grote verantwoordelijkheid van het ICSL valt op dat de werknemers opvallend rustig zijn. In tegenstelling tot de strikte werkomgeving van het assemblageproces is snelheid hier niet prioriteit. Er wordt niet gesproken tussen werknemers tijdens de uren, althans niet toen wij ter plaatse waren.

 

Ondanks de grote verantwoordelijkheid van het ICSL valt op dat de werknemers opvallend rustig zijn.

 

Hardware wordt niet door het ICSL getest. Dat kunnen klanten zelf kopen en mee aan de slag gaan. Met de broncode van de software lukt dat niet. Software is daarom absolute prioriteit voor het lab. Op de vraag of openbroncode Huawei kan helpen om transparanter te zijn, twijfelt Wang Jin enige tijd.

“Alles wat met de broncode te maken heeft, blijft van ons. Het zijn onze intellectuele eigendommen, onze kroonjuwelen. We stellen ze beschikbaar zodat externe partijen de code kunnen testen. Openbrontools om te testen hebben we wel, maar verder gaan we niet.”