Gã khổng lồ công nghệ Trung Quốc Huawei có thể đã giám sát tất cả các cuộc gọi được thực hiện thông qua nhà mạng KPN của Hà Lan. Tiết lộ này có trong báo cáo bí mật năm 2010 được thực hiện bởi công ty tư vấn Capgemini, tổ chức được KPN ủy nhiệm đánh giá rủi ro khi hoạt động với cơ sở hạ tầng của Huawei...
Trong khi báo cáo đầy đủ về vấn đề này chưa được công khai, các nhà báo đưa tin về câu chuyện đã nêu ra những lo ngại cụ thể rằng nhân viên Huawei ở Hà Lan và Trung Quốc đã có quyền truy cập vào các phần bảo mật thiết yếu của mạng KPN - bao gồm dữ liệu cuộc gọi của hàng triệu công dân Hà Lan. Và việc thiếu các bản ghi có nghĩa là KPN không thể xác định tần suất việc nghe trộm xảy ra.
Cả KPN và Huawei đều phủ nhận các cáo buộc, mặc dù kể từ năm 2010, Huawei ngày càng cho thấy mình là nhà cung cấp rủi ro cao cho các công ty viễn thông làm việc cùng, bao gồm cả Trung tâm An ninh mạng Quốc gia của Vương quốc Anh.
Để hiểu rõ hơn câu chuyện này và để xem xét liệu các mạng viễn thông khác có thể có lỗ hổng bảo mật tương tự như của KPN hay không, chúng ta cần xem xét cách vận hành của các mạng di động phức tạp. Về cơ bản, KPN đã cấp cho Huawei “quyền quản trị viên” mạng di động của mình bằng cách thuê ngoài công ty Trung Quốc. Luật pháp Hà Lan hiện mới đang bắt kịp để ngăn chặn các lỗ hổng tương tự trong bảo mật viễn thông.
Áp lực thương mại
Huawei là một trong ba nhà cung cấp thiết bị vô tuyến thống trị trên thế giới, cùng với Ericsson và Nokia. Các công ty công nghệ khổng lồ này cung cấp các trạm gốc và thiết bị phát tín hiệu điện thoại di động. Ngày càng có nhiều các nhà điều hành như KPN trả tiền cho các công ty này không chỉ để mua thiết bị mà còn để họ hỗ trợ và bảo trì nó.
Thị trường viễn thông mà KPN hoạt động là một trong những thị trường có giá cả cạnh tranh nhất trên thế giới. Các nhà khai thác di động châu Âu đã nhận thấy doanh thu trung bình trên mỗi người dùng trong năm 2019 là 14,90 Euro (12,85 bảng Anh) một tháng, so với 36,90 Euro một tháng ở Hoa Kỳ. Chi tiêu của châu Âu cho các dịch vụ viễn thông cũng đang giảm so với cùng kỳ năm trước khi các nhà khai thác cạnh tranh để đưa ra những ưu đãi tốt nhất cho người tiêu dùng.
Doanh thu giảm buộc các nhà khai thác phải cẩn thận về chi phí. Điều này có nghĩa là các nhà khai thác đã quan tâm đến việc thuê ngoài các bộ phận trong doanh nghiệp của họ cho các bên thứ ba, đặc biệt là từ cuối những năm 2000.
Số lượng lớn các kỹ sư có tay nghề cao tạo ra áp lực trả lương trên bảng cân đối kế toán. Ngoài ra, công ty có thể không thể tận dụng hết năng lực của họ khi mọi thứ đang diễn ra suôn sẻ. Do đó, những công việc như vậy thường được thuê ngoài để giúp các nhà khai thác cắt giảm chi phí.
Việc thuê ngoài đang gây ra ảnh hưởng quá lớn
Khi mọi thứ đang hoạt động bình thường, rất ít người để ý đến việc thuê ngoài. Nhưng khi mọi thứ trở nên trục trặc, việc thuê ngoài thường có thể làm phức tạp đáng kể việc khôi phục hoặc tạo ra một “điểm lỗi” lớn hoặc vấn đề bảo mật.
Ví dụ: ở Anh, nhà khai thác di động O2 đã chứng kiến ít nhất một lần ngừng hoạt động có liên quan đến việc sử dụng các chức năng thuê ngoài. Trong trường hợp số lượng lớn các nhà khai thác dựa vào cùng một đối tác gia công, bất kỳ vấn đề hoặc vi phạm bảo mật nào ảnh hưởng đến nhà cung cấp được thuê ngoài đều có thể có tác động trên diện rộng.
Tuy nhiên, việc thuê ngoài của các nhà khai thác di động vẫn phổ biến. Và các công ty ở Anh và khắp châu Âu thường chuyển sang thuê Huawei để được cung cấp các dịch vụ CNTT và giúp xây dựng các mạng lõi. Năm 2010, Huawei đang quản lý các chức năng quan trọng về bảo mật của mạng lõi của KPN.
Quyền truy cập của quản trị viên
Đồng thời, các nhà cung cấp thiết bị như Huawei đang cố gắng chuyển từ việc bán thiết bị đơn thuần và hướng tới cung cấp dịch vụ được quản lý, bao gồm cài đặt, bảo trì và hỗ trợ. Điều này giúp họ tạo ra doanh thu định kỳ trong một ngành thường bị chi phối bởi các chu kỳ kéo dài 5 năm hoặc 10 năm.
Nhưng khi các nhà cung cấp mạng này thuê thêm dịch vụ Huawei vào danh mục của họ, công ty Trung Quốc sẽ có quyền truy cập rộng hơn vào các mạng di động mà họ làm việc cùng. Điều này có thể bao gồm một số phần quan trọng về bảo mật của mạng viễn thông, thường được thiết kế để hoạt động trong môi trường an toàn, đáng tin cậy.
Điều này tương đương với việc đặt tất cả trứng của bạn vào một giỏ. Nó giống như việc trao sự kết hợp của kho tiền ngân hàng cho cùng một nhân viên bảo vệ phụ trách cảnh quay camera CCTV. Thật khó để giám sát một cách đáng tin cậy các hoạt động do nhà cung cấp thực hiện mà không dựa vào phần mềm của chính nhà cung cấp đó.
Trong trường hợp một nhà cung cấp được chỉ định là có rủi ro cao do thực hành bảo mật sản phẩm của chính họ , rất khó để biết liệu nhà cung cấp đó có làm bất cứ điều gì không đúng mực hay không. Đây là tình huống mà KPN dường như đã gặp phải với Huawei vào năm 2010.
Có cần thay đổi không?
Với việc ít nhất một nhà mạng đặt mục tiêu giảm chi phí hoạt động của châu Âu xuống 1,2 tỷ Euro và việc triển khai 5G mang lại cơ hội mới cho các dịch vụ được quản lý và các giải pháp dựa trên phần mềm được sử dụng trong mạng, các quyết định xung quanh việc thuê ngoài sẽ tiếp tục đóng vai trò quan trọng đối với các nhà khai thác di động.
Nhưng luật pháp đang nhanh chóng bắt kịp. Vương quốc Anh đã đề xuất một dự luật bảo mật viễn thông và dự thảo luật thứ cấp liên quan bao gồm các yêu cầu đối với các nhà khai thác mạng để giám sát tất cả hoạt động do các nhà cung cấp bên thứ ba thực hiện, để xác định và quản lý các rủi ro khi sử dụng chúng và có kế hoạch để duy trì mạng hoạt động bình thường nếu dịch vụ của nhà cung cấp của họ bị gián đoạn.
Đối với một số nhà khai thác, có thể hình dung được điều này có nghĩa là đưa các kỹ năng quan trọng trở lại nội bộ để đảm bảo có người theo dõi những việc thuê ngoài. Trong trường hợp của KPN, các biện pháp này có thể sẽ ngăn Huawei có quyền truy cập dường như không bị kiểm soát vào dữ liệu di động của khách hàng.
Văn Thiện
Theo The Conversation
