Vertrouwen

Hoe we straks in Nederland werken, zakendoen of leven met elkaar: er verandert van alles door de digitale transformatie. De kritische infrastructuur bijvoorbeeld. Hoe krijgen we een veilige digitale omgeving waarin de belangen van burgers en bedrijfsleven geborgd zijn?

Digitale veiligheid

Alle partijen die gebruik maken van informatie- en communicatietechnologie hebben een eigen rol en verantwoordelijkheid bij het creëren van een digitaal veilige omgeving. Bij cyberveiligheid en vertrouwen hebben alle spelers een eigen rol en eigen verantwoordelijkheden:

• overheden: wet- en regelgeving
• telecomproviders: veilig onderhoud en beheer van netwerken
• serviceproviders, dat zijn alle partijen die diensten leveren die over de netwerken lopen, bijvoorbeeld banken, social media, internetplatforms: veilige producten, diensten en gegevensbeheer
• leveranciers van de (netwerk)apparatuur, zoals Huawei: veilige hardware en software
• de eindgebruikers: verantwoord gebruik van de netwerken, diensten en omgang met data

Ondersteunende taak

Bij Huawei zien we het als onze taak om de vorming van digitaal beleid met analyses en technologische inzichten te ondersteunen. En dan niet als de leverancier aan de andere kant van de tafel, maar als partner met hetzelfde doel. Náást opdrachtgevers. Náást de toezichthouders. In volledige professionele openheid. Strategische partnerschappen zijn immers van groot belang als het gaat om de kritische infrastructuur. Enerzijds om risico’s effectiever te identificeren en te verlagen. Anderzijds om digitale transformatie tot een succes te maken. Voor iedereen.

Wat betekent dit voor cyberveiligheidsregels?

Wij zijn van mening dat we de uitdagingen van morgen samen – dus overheden en industrie bij elkaar - en vanuit technologisch perspectief moeten bekijken. Een ketenbrede aanpak ligt voor de hand.

Afspraken in de keten

Netwerken zijn verbonden door apparaten van verschillende leveranciers. En netwerkdiensten worden geleverd door verschillende telecomaanbieders. Afspraken in de keten versterken de kracht van elke losse schakel. Dit maakt de keten als geheel sterker. End-to-end (E2E) cyberveiligheid begint dan ook met branchebrede regels voor meer samenwerking. Zonder een beveiligingsstandaard voor de hele keten zal het aantal veiligheidsincidenten omhoog gaan.

In onze optiek vraagt ketenbrede samenwerking vier stappen:

1. Overeenstemming over 5G-veiligheidsstandaarden

   Overheden, bedrijven en brancheorganisaties stellen uniforme beveiligingsstandaarden en -normen voor alle netwerkapparaten en -diensten vast. Als één netwerkapparaat of -service niet aan deze beveiligingsnormen voldoet, brengt dat de beveiliging van het hele netwerk in gevaar.

   Het 3rd Generation Partnership Project, kortweg 3GPP, is de internationale standaardisatieorganisatie voor uniforme 5G-beveiligingsstandaarden. De leden van 3GPP, waaronder Huawei en Ericsson, werken samen om beveiligingsnormen te ontwikkelen en de beveiliging van communicatienetwerken te promoten. Vergeleken met 4G werkt 5G al met sterkere versleutelingsalgoritmen en flexibelere authenticatiemechanismen. Ook zijn nieuwe beveiligingsnormen vastgesteld om de beveiliging van nieuwe producten en diensten te beschermen.

2. Gemeenschappelijke criteria

   Het is nodig dat overheden en bedrijven samenwerken en beveiligingscertificeringsnormen ontwikkelen. Denk aan de normen die zijn vastgesteld door Common Criteria (CC). CC is uitgegroeid tot de meest erkende en vertrouwde IT-productbeveiligingscertificering ter wereld.

   Het is de verantwoordelijkheid van telecomaanbieders en sectoren om de vereiste beveiligingscertificerings-niveaus te bepalen. Zij maken daarbij gebruik van bestaande succesvolle beveiligingsnormen en van hun inzicht in de specifieke kenmerken en behoeften van de branches. Het is ook hun taak dat alle apparaten en diensten voldoen aan de verwachte beveiligingscertificeringsniveaus.

   Verder ligt er de vraag hoe we met alle belanghebbenden de huidige normen, processen en methoden voor beveiligingscertificering kunnen toepassen en verbeteren. En ook welke normen, processen en methoden we kunnen bouwen, die door zowel overheden als klanten worden erkend. Wanneer alle belanghebbenden aan deze discussie deelnemen, kunnen branchebrede normen succesvol worden geïmplementeerd.

3. Beveiliging productieprocessen

   Ook de productieprocessen en -diensten van de leveranciers van apparatuur moeten veilig zijn, zodat deze voldoen aan de beveiligingsnormen en het beveiligingscertificeringsniveau van hun klanten. Daarom hebben Ericsson en wijzelf de beveiliging van LTE- en 5G-apparatuur en -diensten ontworpen met behulp van erkende beveiligingsstandaarden, zoals 3GPP en CC. Dit waarborgt de veiligheid van onze fabricageprocessen en diensten.

4. Helderheid rond certificering

   Om de certificering rond cyberveiligheidthema’s zo soepel mogelijk te laten verlopen, is een planmatige werkwijze rond de certificering noodzakelijk. Belanghebbenden als overheden, leveranciers, aanbieders en certificeringsorganisaties hebben ieder hun rol bij het opstellen hiervan.

   Om het systeem waterdicht te maken en te houden, is het noodzakelijk dat elke leverancier van apparatuur een dergelijke certificering in zijn bezit heeft. Daarbij moeten de externe certificeringsorganisaties volledig vertrouwen genieten. Ook hun onafhankelijke certificeringen moet onpartijdig worden getoetst.

   Het kan zijn dat huidige scenario’s nog niet onder de bestaande certificeringsnormen vallen. Deze worden dan alsnog aangepast. 3GPP ontwikkelt het Network Equipment Security Assurance Scheme (NESAS). De Global System for Mobile Communications Association (GSMA) zal de kwalificaties ervan beoordelen. Dit betekent dat de NE-(Network Element) beveiliging binnenkort gecertificeerd kan worden.

Kort en goed

Samenwerking tussen erkende partijen is de enige manier om E2E-cyberbeveiliging te garanderen. Uitsluiting van partijen is geen garantie voor veiligheid; risico’s pak je gezamenlijk en sectorbreed aan. Overheden, leveranciers, telecomaanbieders en certificeringsorganisaties spelen hierin een rol van betekenis. Ieder vanuit zijn eigen rol en verantwoordelijkheid.

Onze cybersecurity-reis begon al in 1999. Toen publiceerden we onze eerste reeks technische beveiligingstechnieken, bedoeld om de beveiliging van producten en oplossingen te verbeteren. In 2011 heeft onze oprichter en CEO Ren Zhengfei deze strategie volledig onderschreven en het Cyber Security Assurance-beleid uitgevaardigd, waarin onze inzet voor cyberveiligheid verder is uitgebreid en versterkt. Hieronder lichten wij ons beleid toe dat als doel heeft digitale veiligheid te borgen.

Haalbare, effectieve maatregelen

Als wereldwijde en toonaangevende leverancier van telecomoplossingen zijn wij ons bewust van het belang van cyberveiligheid. We begrijpen de zorgen van verschillende overheden en klanten over beveiliging. Ook wij zien de constante evolutie en ontwikkeling van de telecom-industrie en informatietechnologie, en daarmee ook de beveiligingsdreigingen en -uitdagingen. Ons bedrijf neemt daarom haalbare en effectieve maatregelen om de beveiliging van onze producten en diensten te verbeteren. Hierdoor helpen we klanten om beveiligingsrisico's te verminderen en te vermijden en bouwen we tegelijk aan vertrouwen in ons bedrijf.

Transparant en zichtbaar

Wij geloven dat een open, transparant en zichtbaar kader voor veiligheidsborging bevorderlijk is voor de gezonde en duurzame ontwikkeling van industriële ketens en technologische innovatie. Het zal ook de soepele en veilige communicatie tussen mensen vergemakkelijken. In dat licht verbinden wij ons aan een end-to-end cyberveiligheid borgingssysteem als cruciaal onderdeel van onze bedrijfsstrategie. We baseren ons daarbij op naleving van alle relevante wetten, voorschriften en normen per land en regio en de beste praktijken uit de industrie. Het systeem zit verweven in ons bedrijfsbeleid, de organisatiestructuur, onze bedrijfsprocessen, technologie en standaardpraktijken.

Digitale veiligheid prioriteit

Samenwerking is voor ons de enige manier om de uitdagingen van cyberveiligheid het hoofd te bieden. We werken samen met overheden, klanten en partners. Wederzijdse openheid en transparantie zijn vanzelfsprekend in de gesprekken die we voeren en in de afspraken die we maken. Ook geven we onze klanten de garantie dat onze inzet voor cyberveiligheid nooit wordt overvleugeld door commerciële belangen. Cyberveiligheid staat voorop.

Geavanceerde bedrijfsprocessen

Het dagelijks leveren van innovatieve producten en diensten van hoge kwaliteit vereist geavanceerde bedrijfsprocessen. Bij de ontwikkeling van onze processen laten we ons adviseren door gerenommeerde spelers op het wereldtoneel. IBM is sinds 1997 onze vaste consultant voor het procesmatig inrichten van onze organisatie. Die processen zijn gebaseerd op beproefde methoden uit de industrie en zorgen ervoor dat we elke dag opnieuw producten en diensten leveren van hoge kwaliteit.

Dagelijks in de praktijk

In onze standaardprocessen en dagelijkse activiteiten voldoen we niet alleen aan de vereisten uit de wetgeving, het beleid en de normen voor digitale veiligheid, maar nemen we ook de beproefde methodes uit de industrie op. Op deze manier wordt digitale veiligheid een standaard onderdeel van onze dagelijkse bedrijfsvoering. Onze methodologie voor end-to-end digitale beveiliging is onderdeel van de volgende 12 processen en bedrijfsonderdelen.

Organisatie van onze cyber-veiligheidsstrategie

Beheer digitale veiligheidsstrategie

We erkennen dat alleen omdat we een proces hebben, dit niet betekent dat het een goed proces is of dat iemand het proces ook daadwerkelijk uitvoert. Ons uitgangspunt was daarom een bestuur te creëren voor de uitvoering van de digitale veiligheidsstrategie, dat verantwoording aflegt voor het succes of falen ervan. Dit kan alleen gebeuren aan de top van de organisatie. Immers, als het niet van belang is voor de raad van bestuur en senior leidinggevenden, is het ook niet van belang voor de werknemers. Het beheer van ons cyberveiligheidsbeleid is als volgt:

In onze organisatie is het Global Cyber Security and User Privacy Protection Committee (GSPC), als het hoogste orgaan voor cyberveiligheidsbeheer, verantwoordelijk voor het bekrachtigen van de strategie van cyberveiligheidsborging. De Global Cyber Security and user Privacy Protection Officer (GSPO) is een belangrijk lid van GSPC, die rechtstreeks rapporteert aan onze CEO.

De GSPO is verantwoordelijk voor het ontwikkelen van deze strategie en voor het beheer en toezicht op de uitvoering ervan. Het systeem wordt wereldwijd door alle afdelingen binnen Huawei overgenomen. Dit garandeert consistentie in de implementatie. De GPSO zal zich ook inspannen om effectieve communicatie tussen Huawei en alle belanghebbenden mogelijk te maken, inclusief overheden, klanten, partners en werknemers.

ICT evolueert van een verticale industrie naar een platformindustrie die de digitale transformatie van verschillende sectoren ondersteunt en een volledig verbonden, intelligente wereld creëert. Nieuwe technologietrends zoals cloud, kunstmatige intelligentie (AI) en ontkoppeling van software en hardware (software-defined everything, SDE) vereisen een zeer betrouwbare ICT-infrastructuur. Klanten willen allereerst betrouwbaarheid als zij investeren in ICT-producten. Betrouwbaarheid verwijst niet alleen naar het leveren van succesvolle resultaten maar ook naar de borging van hoogwaardige processen en de ontwikkeling van producten op een kwalitatief goede wijze. Betrouwbaarheid ontstaat uit verifieerbare kwaliteit - zowel in proces als in resultaat.

Topprioriteit in ons bedrijf

Cyberveiligheid en privacybescherming hebben topprioriteit in ons bedrijf. Huawei bouwt aan een effectief managementsysteem dat gebruik maakt van het ISO 9000-kwaliteitsbeheersysteem en de ISO/IEC/IEEE 15288 en 12207 systeemontwerp- en softwareontwikkelingsnormen. Dit zorgt ervoor dat elke klant een kwalitatief hoogstaand product krijgt, onze medewerkers de focus houden op productveiligheid en wij het vertrouwen blijven verdienen van onze klanten."

Verschillende normen voor verschillende aspecten

Welke normen zijn er nodig in de telecomsector om ervoor te zorgen dat een volledig verbonden wereld veilig blijft in de toekomst? Ons bedrijf nam deel aan de ontwikkeling van meer dan 150 documenten, waaronder reguliere beveiligingsnormen, handleidingen voor processpecificaties, richtlijnen, whitepapers en academische publicaties. In de afgelopen decennia hebben we wel ontdekt dat allesomvattende normen niet bestaan. Daarom dekken we met verschillende normen verschillende aspecten van beveiliging af.

Ons betrouwbaarheidskader

Huawei heeft ervaring met grootschalige ontwikkeling, netwerkimplementatie en bedrijfsvoering & onderhoud (O&M), evenals de kennis om grote en complexe producten te ontwerpen. We definiëren ons zogenaamde betrouwbaarheidskader op basis van algemene kennis in systeemtechniek, gekoppeld aan vier praktische principes: alles wat we doen op het gebied van betrouwbaarheid moet 1) uitlegbaar zijn, 2) toepasbaar zijn, 3) verifieerbaar zijn en 4) gebaseerd zijn op aanzienlijk draagvlak binnen de industrie.

Figure 1-1 Huawei betrouwbaarheidskader (trustworthiness framework)

Bouwen aan vertrouwen en hoge kwaliteit

We staan voor het bouwen van vertrouwen en hoge kwaliteit in elk ICT-infrastructuurproduct en elke oplossing die we ontwikkelen. Kernelementen waaraan we daarbij werken zijn:

Beveiliging: Huawei zal de beveiliging van zijn producten versterken, inclusief hun vermogen om de vertrouwelijkheid, integriteit en beschikbaarheid van diensten en gegevens te beschermen.

Weerbaarheid: Dit is het vermogen van het systeem om wanneer het wordt aangevallen, overeind te blijven zelfs als dat in een mindere staat verkeert, en snel te herstellen na de aanval.

Privacy: Privacybescherming is een plicht, niet alleen vanuit de wet maar ook vanuit onze kernwaarden. Gebruikers moeten daarbij goed en makkelijk kunnen bepalen hoe hun gegevens worden gebruikt. Beleid over hoe informatie gebruikt wordt, moet transparant zijn voor gebruikers. Gebruikers moeten op de juiste manier kunnen bepalen wanneer en of ze informatie willen ontvangen op basis van hun eigen individuele behoeften. Er moet een reeks mogelijkheden en mechanismen zijn om de privégegevens van gebruikers volledig te beschermen.

Veiligheid: Systeemstoringen mogen, door schade te veroorzaken aan omgevingen of eigendommen, geen onaanvaardbare risico’s of schade aan de veiligheid van individuele personen veroorzaken, direct of indirect.

Betrouwbaarheid en beschikbaarheid: We moeten zorgen voor een langdurige, storingsvrije werking gedurende de hele levenscyclus van onze producten. Ze moeten in staat zijn om snel te herstellen en zichzelf te beheren, en om voorspelbare diensten te leveren.

Betrouwbaarheid moet worden geïntegreerd tijdens de ontwikkeling, implementatie en innovatie van elk product. We moeten de integriteit en traceerbaarheid (in beide richtingen) van elk product waarborgen, van de productinnovatie tot de locatie van de klant. Waar nodig, moeten we ze voorzien van de juiste mechanismen voor vertrouwelijkheidsbescherming (zoals scheiding van rechten, (ont-)koppeling van domeinen en gedragscontrolemechanismen) om ervoor te zorgen dat producten niet kunnen worden vervalst en er niet mee kan worden geknoeid.

Wij moeten er ook voor zorgen dat implementatie-, onderhouds- en verwijderingsprocessen en -hulpmiddelen gevoelige gegevens kunnen beschermen tegen lekken. Om betrouwbaarheid te bereiken, moeten in elk domein betrouwbaar systeemontwerp, betrouwbare software-implementatie, betrouwbare levering, beheer en onderhoud, en productlevenscyclusbeheer plaatsvinden.

Continu doorontwikkelen

Zelfs de meest succesvolle bedrijven kunnen omvallen als ze zich niet of onvoldoende weten aan te passen aan de veranderende omstandigheden. Kiezen om te evolueren is de enige manier waarop een bedrijf zich kan aanpassen aan de veranderingen in de buitenwereld. Daarom moet Huawei open blijven staan en zich blijven doorontwikkelen in de hoop relevant te blijven.

Onze Raad van Bestuur heeft besloten een breed transformatieprogramma te starten om onze software-engineeringscapaciteiten en -praktijken de komende vijf jaar fundamenteel te verbeteren. Onze Roterend Voorzitter Xu Zhijun (Eric Xu) heeft de leiding over dit programma. In eerste instantie maken we voor dit programma USD$ 2 miljard vrij; dit programma dekt alle producten af in onze ICT infrastructuurdivisie. Ons doel is om betrouwbare kwaliteitsproducten te ontwikelen. Alleen op deze wijze kunnen we onze visie en missie invulling geven: bouwen aan een volledig verbonden, intelligente wereld. Voor elk individu, elk huishouden en elke organisatie.