Security: la visione del capo della sicurezza ZTE, Zhong Hong

Security: la visione del capo della sicurezza ZTE, Zhong Hong– L’era del 5G è arrivata. Il cloud computing, l’Internet of Things, i big data, l’intelligenza artificiale e altre tecnologie stanno dando il via a una ennesima serie di cambiamenti industriali. Quali le implicazioni lato security?
ZTE ritiene che il tasso di sicurezza che fornisce ai propri clienti venga sempre anteposto agli interessi commerciali e che le caratteristiche di sicurezza dei prodotti siano sempre soddisfatte. Le minacce alla sicurezza informatica sono un problema di tutti e i nostri stessi clienti si trovano ad affrontarle con noi. A nostro avviso la maggiore preoccupazione per i clienti è avere sempre sufficienti misure di controllo di sicurezza per garantire l’operatività costante delle loro attrezzature e servizi. La continua gestione della sicurezza informatica di ZTE negli ultimi anni ha fornito ai clienti un meccanismo olistico di garanzia della sicurezza end-to-end che consente a prodotti e servizi di resistere a qualsiasi attacco informatico.
ZTE è disposta a comunicare e cooperare con operatori, autorità di regolamentazione, partner commerciali e altre parti interessate in modo aperto e trasparente, rispettare le leggi e i regolamenti pertinenti, rispettare i diritti e gli interessi legittimi dei clienti e degli utenti finali e migliorare continuamente la gestione e gli aspetti tecnici e pratici per fornire ai clienti prodotti sicuri e affidabili al fine di creare un buon ambiente di sicurezza del cyberspazio.

– Recentemente, alcuni governi hanno sollevato preoccupazioni in merito alla sicurezza informatica. In che modo ZTE può proteggere la sicurezza e la riservatezza delle informazioni per i clienti di tutto il mondo?
A questa domanda bisogna rispondere da due punti di vista. Uno concerne ZTE e cosa dovrebbe fare per garantire la sicurezza informatica e come farlo. L’altra riguarda il punto di vista del cliente, e come, attraverso le diverse iniziative, si ottenga il riconoscimento e la fiducia dei clienti.
Prima di tutto, pensiamo che la sicurezza sia la proprietà intrinseca del prodotto, quindi mettiamo la sicurezza al primo posto. In secondo luogo, se da un lato vanno comprese appieno le esigenze di sicurezza dei nostri clienti dall’altra dobbiamo costantemente comunicare ai nostri clienti che i prodotti ZTE sono sicuri. La nostra Compagnia sta conducendo un programma di assicurazione della sicurezza informatica a lungo termine e continuo, denominato “ZTE Cybersecurity Governance”. La sua visione è “security in blood, fiducia attraverso la trasparenza”. L’obiettivo finale è fornire ai clienti la massima sicurezza.

A livello strategico, la sicurezza informatica è una delle massime priorità per lo sviluppo e la distribuzione dei prodotti. Vale a dire, nei punti chiave decisionali nel processo di R & S e nei servizi di ingegneria, quando dobbiamo fare delle scelte, daremo la priorità alla sicurezza dei prodotti. Ad esempio, nel processo di sviluppo del prodotto, impostiamo il gate di rilascio. Se un prodotto non supera il test di sicurezza, la versione non sarà autorizzata alla distribuzione. Nel processo di servizi di ingegneria, i metodi tecnici e di gestione sono utilizzati per garantire l’operatività di sicurezza della rete del cliente. Ad esempio, la gestione degli account applica i principi della necessità della conoscenza e degli accessi minimali: tutte le operazioni che comportano l’accesso alle reti e ai dati dei clienti devono essere preventivamente autorizzate dai clienti.

A livello organizzativo, ZTE ha adottato una struttura di sicurezza della difesa a tre linee ben riconosciuta e nota nel settore. Basata sul principio della separazione dei compiti e delle responsabilità, ZTE supervisiona la sicurezza del prodotto da più punti di vista: la prima linea di difesa ottiene l’autogestione e il controllo della sicurezza informatica, la seconda linea di difesa implementa la verifica e la supervisione indipendente della sicurezza; e la terza linea di difesa verifica l’efficacia della prima e della seconda linea di difesa.
Nel processo di sviluppo del prodotto, l’implementazione di un meccanismo di verifica della sicurezza a più livelli garantisce che la sicurezza venga esaminata da più punti di vista. Nel campo dei servizi di ingegneria, in base alle dimensioni di un progetto, la società istituisce un team di gestione della sicurezza dei prodotti multilivello e un meccanismo di monitoraggio della sicurezza informatica e di risposta agli incidenti; La seconda e la terza linea conducono ispezioni e verifiche sul campo nel settore dei servizi di ingegneria per garantire che il funzionamento e la manutenzione dei prodotti in linea siano sicuri e affidabili.

A livello tattico, il programma di assicurazione sulla sicurezza informatica si attiene con una “politica” in sei punti: standardizzazione, rigorosa implementazione, tracciabilità, forte supervisione, trasparenza e affidabilità.
Standardizzazione: le policy di sicurezza sviluppate e le specifiche di processo sono seminate in ogni prodotto e processo. ZTE esamina regolarmente le specifiche di sicurezza in base al modello di maturità del settore e garantisce che siano applicabili ed efficaci.

Implementazione rigorosa: il lavoro quotidiano di ciascun dipartimento aziendale viene implementato rigorosamente in conformità ai regolamenti. La società ha creato una “linea rossa di sicurezza del prodotto” che traccia una profonda e insormontabile demarcazione per rendere tutto più sicuro nelle reti dei clienti e durante l’elaborazione dei dati personali; obbligatoria sia per le organizzazioni che per i privati.
La tracciabilità: i componenti del prodotto, la distribuzione della posizione del prodotto e la registrazione del processo di esecuzione costituiscono l’immagine stessa del prodotto, aiutandoci a gestire anche visivamente il tool e aiutandoci così eventualmente a risalire e rivedere eventuali incidenti di percorso.

Sorveglianza elevata: verificare l’efficacia dell’applicazione delle norme e delle specifiche attraverso audit di sicurezza interni e di terze parti, i risultati dell’audit vengono segnalati al Comitato di verifica, la rettifica e la revisione devono essere immediatamente eseguite.

Trasparenza: le iniziative di cybersecurity devono essere trasparenti per i clienti e abbiamo implementato una serie di iniziative per rendere trasparente il processo.
Nel 2017, la società è diventata un’Autorità di numerazione CVE; le parti interessate possono essere portate a conoscere il processo di gestione dei nostri prodotti attraverso la formale divulgazione delle loro eventuali vulnerabilità. Nel primo trimestre del 2019, ci aspettiamo di rilasciare una nuova versione del “Libro bianco sulla cybersicurezza” per consentire alle parti interessate di abbracciare gli atteggiamenti e le iniziative di ZTE in materia di sicurezza della cybersicurezza. Nel frattempo, la società ha iniziato a costruire laboratori di sicurezza all’estero, che consentono ai clienti di vedere i nostri prodotti che avevano osservato solo online; inoltre, stiamo fondando partnership strategiche con terze parti per acquisire tecnologie e servizi leader del settore per la preparazione dei laboratori di sicurezza, la valutazione indipendente e gli audit di sicurezza.

Affidabilità – La premessa per conquistare la fiducia dei clienti è quella di rispettare e comprendere i valori dei nostri clienti rendendo il processo trasparente e regolamentato. ZTE ha superato la certificazione ISO 27001 per il sistema di gestione della sicurezza delle informazioni nel 2005 e ha aggiornato il suo certificato ogni anno. Nel 2017, ZTE ha approvato la certificazione ISO 28000 (Specifica per i sistemi di gestione della sicurezza per la catena di approvvigionamento). Dal 2011, più di dieci prodotti sono stati certificati dai Common Criteria (cioè ISO 15408). Negli ultimi due anni, ZTE ha lavorato a stretto contatto con clienti, terze parti e autorità di regolamentazione estere per condurre attività come la revisione del codice sorgente, la revisione della progettazione della sicurezza e l’audit dei fornitori.

In termini di formazione del personale, riteniamo che il successo del programma di governance della cybersicurezza dipenda in gran parte dalla consapevolezza del personale e della sicurezza. Abbiamo creato team di sicurezza e formato professionisti specializzati. Nell’ultimo anno abbiamo aggiunto 27 certificati costituiti da CISSP (Certified Security System Professional), CISA (Certified Information Security Auditor), CISAW (Certified Information Security Assurance Worker) e CCSK (Certificate of Cloud Security Knowledge). Abbiamo anche organizzato vari livelli di apprendimento, formazione, workshop, pratiche ed esami e abbiamo formato il personale di sicurezza che oggi conta oltre 600 persone. Ma, soprattutto, lo sviluppo della consapevolezza della sicurezza inizia con la gestione. Il Comitato per la sicurezza informatica (CSC) è diretto dall’Amministratore Delegato, con il CTO come vicedirettore esecutivo e il CSO come vicedirettore, i membri del Comitato permanente della CSC sono rappresentati dai responsabili finali della business unit di supply chain, prodotti di sistema e servizi di ingegneria. L’organizzazione della sicurezza informatica è stata implementata a livello di management.

– Si potrebbe fare di più sul piano di preparazione e creazione dei laboratori di sicurezza?
I laboratori di sicurezza in costruzione verranno gestiti in modalità “1 + N”. Il laboratorio del centro sarà situato in Cina e saranno installati più punti di accesso remoto in patria e all’estero.
I laboratori di sicurezza preselezioneranno tre funzioni: 1. Visualizzare e valutare il codice sorgente dei prodotti ZTE in un ambiente sicuro; 2. Fornire l’accesso a importanti documenti tecnici relativi a prodotti e servizi ZTE; 3. Fornire test di sicurezza manuali e automatizzati di prodotti e servizi ZTE.

La costruzione arriverà in più fasi: nel 2019 saranno realizzati due laboratori di sicurezza in Belgio e in Italia. In futuro ZTE prenderà in considerazione la creazione di nuovi laboratori in base alle esigenze dei clienti e allo sviluppo del business.

– Recentemente c’è preoccupazione in tutto il mondo intorno al problema della sicurezza nazionale; la credibilità dei produttori cinesi di apparecchiature per le telecomunicazioni è stata messa in discussione da governi e imprese multinazionali. Alcuni pensano che i fornitori di telecomunicazioni cinesi forniscano cooperazione al lavoro di intelligence governativa. Che opinione ha sulla questione?
ZTE non ha mai ricevuto richieste da agenzie competenti per creare backdoor nei nostri prodotti; il codice sorgente dei nostri prodotti può essere aperto a controlli di sicurezza da parte di clienti e organizzazioni professionali attraverso i nostri laboratori di sicurezza.