Huawei nói gì trong Sách trắng về An ninh mạng?

Với tiêu đề “Viễn cảnh An ninh mạng: Đưa An ninh mạng trở nên một phần trong DNA của công ty - thiết lập các tiêu chuẩn, chính sách và quy trình tích hợp”, cuốn Sách trắng (the White Paper) lần thứ 2 của Huawei vừa được ban bố cuối tuần qua đã cho thấy khá rõ nét quan điểm, phương pháp tiếp cận và cách thức bảo mật cho các sản phẩm, thiết bị của nhà cung cấp những giải pháp ICT hàng đầu thế giới này. Các tác giả cuốn sách nhận xét rằng sự thật là không thể có câu trả lời dễ dàng hoặc thấu cho thách thức về an ninh mạng. Đây là một vấn đề quá rộng, có quá nhiều phương tiện được kết nối với mạng Internet có chừng độ an ninh khác nhau, có quá nhiều lỗ hổng trong phần cứng và phần mềm, tỷ lệ đổi thay công nghệ quá lớn, và những người có ý định xấu chỉ cần làm thành công một lần trong khi những người bảo vệ an ninh mạng cần phải xoành xoạch thành công. Từ quan điểm toàn cầu hóa về an ninh mạng… Trong cuốn Sách trắng đầu tiên về An ninh mạng được xuất bản vào tháng 9/2012, Huawei đã truyền tải các thông điệp rằng: thực tại an ninh mạng có thể gây ảnh hưởng rất xấu cho hoạt động kinh dinh; rằng chuỗi cung ứng ICT của thế giới đã hòa lẫn với nhau và chẳng thể gọi bất kỳ thiết bị ICT nào “của nước ngoài”; rằng cả thảy chúng ta phải cẩn trọng không để mạng Internet trở thành một “miền Tây hoang dã”; và việc giải quyết hoặc giảm thiểu rủi ro từ các thách thức an ninh mạng đòi hỏi tuốt người chơi toàn cầu phải hợp tác. Huawei cũng đã miêu tả chi tiết hệ thống cung ứng của mình và giải thích rằng logo Huawei trên vỏ hộp thiết bị không có tức là hết thảy cấu kiện đều là của Huawei. Thực tiễn, có tới 70% bộ phận linh kiện có trong sản phẩm của Huawei lại không phải là của Huawei, mà từ chuỗi cung ứng toàn cầu với Hoa Kỳ là nhà cung cấp linh kiện lớn nhất, chiếm khoảng 32%. Sách trắng cũng đã cung cấp các số liệu cho thấy nhiều doanh nghiệp ICT phương Tây có trung tâm R&D lớn tại Trung Quốc và chỉ riêng tại thị thành Chengdo đã có 189 trong số 500 công ty trong danh sách Fortune đặt hội sở tại đây - và hiện con số này đã lên tới 250. Huawei cũng chính trực nhận xét về vai trò của chính phủ trong việc sử dụng công nghệ để thúc đẩy các mục tiêu xa hơn của họ, về sự thiếu nhất quán trong thông điệp khi một vài chính phủ phê phán các doanh nghiệp là đối thủ cạnh tranh trực tiếp của các doanh nghiệp thuộc nhà nước đó, trong khi họ vẫn tận dụng tối đa vai trò của công nghệ để xúc tiến phát triển kinh tế và thế mạnh chính trị của chính họ nhờ vào phí của các bên khác. Huawei cũng không ngần ngại phê phán các chính phủ và nhà chính trị đang dùng an ninh mạng như một rào chắn thương nghiệp mà không cung cấp bất kỳ chứng cớ Thực tế nào để củng cố ý định của mình trong việc ngăn chặn các công ty ra khỏi thị phần của họ. …Đến cách làm: Đưa an ninh mạng trở thành một phần trong DNA Trong cuốn Sách trắng lần thứ 2, Huawei tụ hợp chú ý vào công tác quản lý, chiến lược, chính sách và quy trình liên tưởng tới an ninh mạng, bộc lộ chi tiết hơn, thực tiễn hơn so với cuốn trước về cách công ty đưa an ninh mạng trở nên một phần DNA của công ty. Huawei ứng dụng phương pháp đa tầng theo kiểu “nhiều tay và nhiều mắt” để cung cấp sự thông thoáng, minh bạch về những gì mình làm. Công ty khuyến khích kiểm nghiệm, coi xét và soát các nhà cung cấp công nghệ, gồm cả chính mình, theo hình thức công bằng và không phân biệt, bởi mỗi lần kiểm nghiệm hoặc rà soát lại đều khiến các công ty phải đưa ra những ý tưởng, chính sách và quy trình, nhưng sẽ nâng cao năng lực của họ, cải thiện chất lượng sản phẩm và bảo mật sản phẩm. Những năm gần đây, Huawei đã có nhiều sáng kiến trong việc chủ động giải quyết các thách thức về an ninh mạng phức tạp và nghiêm trọng mà các chính phủ và nhà cung cấp mạng viễn thông trên toàn cầu đang phải đối mặt. Những thách thức này khiến cho tất thảy các bên can dự hiểu rõ hơn về những gì các nhà cung cấp công nghệ nên làm để giảm bớt những vấn đề về an ninh. Vì vậy, cần có một tiêu chuẩn hoặc bộ tiêu chuẩn về an ninh mạng trong bối cảnh hiện. Tuy nhiên, các bên liên can rất khó đi đến thống nhất những tiêu chuẩn này, hay những tiêu chuẩn mới cần xây dựng là gì. Khi không có sự thống nhất trên toàn cầu về các tiêu chuẩn đánh giá an ninh mạng, Huawei tin rằng bằng việc xây dựng một môi trường đảm bảo an ninh mạng công bằng và có đích, những thách thức an ninh mạng phổ quát có thể sẽ được khắc phục. Huawei cũng đã xây dựng một quy trình đánh giá an ninh mạng đa tầng nhằm đảm bảo rằng các sản phẩm của mình đều được khảo sát về các vấn đề an ninh mạng tiềm tàng, từ thiết kế, phát triển sản phẩm, cho tới triển khai, bảo trì trong mạng lưới khách hàng trên thế giới. Huawei tiến hành và liên tục phát triển sản phẩm của mình bằng cách áp dụng “quản lý vòng kín”. Quản lý vòng kín nhằm bảo đảm các mối quan hoài về an ninh của khách hàng và các yêu cầu được đưa vào bước thiết kế sản phẩm để cải thiện chất lượng và bảo mật của sản phẩm theo tiêu chuẩn quốc tế. Bất kỳ ít nào sau khi đánh giá các sản phẩm sẽ được cung cấp cho bộ phận nghiên cứu và phát triển (R&D) của công ty để bảo đảm các kết quả đều hạp với sản phẩm được ban bố trong mai sau. Do có nhiều phương pháp và cách hiểu khác nhau, nên các đề nghị an ninh mạng của khách hàng có thể khác nhau, và thay đổi tùy theo các mạng và thiết bị ở những chừng độ khác nhau. Vì thế, Huawei gần đây đã áp dụng 3 mô hình đánh giá khác nhau nhằm liên tiếp nâng cao bảo mật sản phẩm. Phòng thử nghiệm an ninh mạng nội bộ của Huawei chịu bổn phận tự xác minh về an ninh mạng, bao gồm việc coi xét đánh giá lỗ hổng bảo mật đã được phát hiện và cơ sở bảo mật của sản phẩm. Điều này giúp cho việc thẩm tra sản phẩm được thực hành từ khâu thiết kế tới khâu khai triển thực hiện. Phòng thể nghiệm an ninh mạng ngoại bộ của Huawei chịu bổn phận đánh giá an ninh tại mức khu vực và quốc gia, nhằm đáp ứng các đề nghị chứng nhận an ninh của các chính phủ sở tại và khách hàng. Giờ, trọng tâm đánh giá an ninh Mạng tại Anh (CSEC) tiến hành các đánh giá đó. Huawei cũng làm việc với các cơ quan đánh giá thứ ba và các chuyên gia đánh giá độc lập, những người đánh giá an ninh sản phẩm không bị thiên lệch. Hình thức đánh giá này thường được tiến hành bởi khách hàng, người kiểm nghiệm bên thứ ba, bao gồm mô hình chứng nhận an ninh tiêu chí thông thường (CC). Minh Lê