Năm 2012, Huawei đã xuất bản cuốn Sách trắng (White Paper) Bảo mật không gian mạng: Công nghệ và An ninh thế kỷ 21 – một cuộc hôn phối khó khăn. Đây là cuốn sách trắng đầu tiên về chủ đề này, mô tả những thách thức liên quan đến toàn cầu hóa, sự phụ thuộc lẫn nhau và số hóa trong cuộc sống. Ngoài ra, tài liệu này cũng đưa ra cái nhìn tổng quan về hướng tiếp cận của Huawei đối với hệ thống an ninh mạng và cũng nhấn mạnh sự cần thiết hợp tác nhằm giảm thiểu rủi ro từ các cuộc tấn công an ninh mạng.

Viễn cảnh an ninh mạng, cuốn Sách trắng thứ hai về bảo mật không gian mạng của Huawei, đưa ra một cái nhìn sâu sắc hơn và mang tính thực tiễn hơn về phương pháp Huawei khiến an ninh thông tin trở thành một phần DNA của mình và nhằm mục đích nâng cao hiểu biết về các chính sách, thủ tục và phương thức chuyển đổi mà các nhà cung cấp đang xem xét trong mối quan hệ với an ninh mạng.

Vấn đề với các tiêu chuẩn là chúng không chuẩn

Khi ngành công nghiệp ICT đua nở về các tiêu chuẩn và nguyên tắc kỹ thuật toàn cầu, thì chính ngành này sẽ phải cùng hợp tác với nhau rất nhiều để đảm bảo lợi ích của xã hội số thông qua các hướng tiếp cận an ninh thông tin chung và tiêu chuẩn hóa để bảo mật.

Một trong số những thách thức lớn nhất mà các nhà cung cấp và người mua các sản phẩm công nghệ phải đối mặt đó là tình trạng dư thừa các tiêu chuẩn và những thực tiễn điển hình nhất liên quan đến an ninh - đây là một thách thức chung và là của cả ngành công nghiệp này.

Định hướng

Các chính phủ, ngành công nghiệp và người sử dụng trên toàn thế giới cần cùng nhau hiểu rõ về cách thức phối hợp với nhau để xác định và đồng thuận về các quy chuẩn, quy phạm mới và riêng biệt về hành vi, tiêu chuẩn và điều luật; và cách chúng ta đảm bảo được quyền riêng tư cũng như an ninh của các hệ thống mạng toàn cầu. Chỉ bằng cách hợp tác toàn cầu, thì các nhà cung cấp, khách hàng và các nhà hoạch định chính sách, pháp luật mới không tạo ra sự khác biệt lớn trong việc giải quyết các thách thức an ninh mạng toàn cầu.

Các bước quan trọng tiếp theo trong ngành công nghiệp bao gồm:

- Chia sẻ kiến thức và hiểu biết về cách thức nào có hiệu quả và không hiệu quả để giảm thiểu rủi ro cho mọi người khi sử dụng công nghệ vào những mục đích chưa định trước.

- Phát triển khung kết cấu hệ thống an ninh mạng đồng bộ trên toàn cầu để tránh xảy ra các tranh chấp pháp lý hay xung đột cũng như khuyến khích việc đơn giản hóa các yêu cầu về chuỗi cung ứng toàn cầu.

- Tạo ra một chương trình đánh giá hợp chuẩn toàn cầu cho các sản phẩm ICT, điều này sẽ góp phần đáng kể làm tăng sức mua của khách hàng đối với các sản phẩm ICT, giúp hình thành các quyết định đúng đắn hơn cũng như khuyến khích nhà sản xuất và nhà cung cấp tạo ra các sản phẩm ít lỗ hổng bảo mật hơn và có tính đảm bảo cao hơn.

Để đạt được các mục tiêu trên, ngành công nghiệp cần xem xét:

- Thách thức về quyền riêng tư trong thế giới số hóa: Bản chất phân phối và xử lý dữ liệu toàn cầu yêu cầu các khung pháp lý vững chắc và tương thích, và các điều luật về công nghệ được thống nhất trên toàn thế giới để hỗ trợ bảo vệ dữ liệu cá nhân và doanh nghiệp.

- Thông qua thực tiễn đánh giá rủi ro: Việc tập trung chiến lược vào hướng tiếp cận quản lý rủi ro cũng như nhận biết thực tế rằng mạng lưới toàn cầu phụ thuộc vào chuỗi cung ứng toàn cầu đóng vai trò cần thiết tăng cường bảo vệ hệ thống an ninh mạng.

- Khách hàng là thượng đế: Người mua công nghệ - là các cơ quan chính phủ, các doanh nghiệp hoặc người tiêu dùng cần sử dụng quyền mua kinh tế để đặt ra thêm các yêu đối với các nhà cung cấp công nghệ và dịch vụ của họ trong việc bảo mật thông tin.

"Chúng tôi có thể khẳng định rằng chúng tôi chưa bao giờ nhận được bất cứ chỉ đạo hoặc yêu cầu nào từ bất cứ Chính phủ hoặc các cơ quan nhà nước nào về việc thay đổi vị trí, chính sách, thủ tục, phần cứng, phần mềm hay hoạt động thực tiễn của nhân viên hoặc bất cứ vấn đề nào khác của chúng tôi, ngoài những đề nghị chúng tôi cần nâng cao khả năng đảm bảo an ninh mạng tổng thể. Chúng tôi có thể khẳng định rằng chúng tôi chưa bao giờ bị yêu cầu phải cung cấp quyền truy cập vào công nghệ của mình, hoặc cung cấp bất cứ dữ liệu hoặc thông tin nào về bất kỳ công dân hoặc tổ chức nào cho bất cứ Chính phủ hoặc cơ quan nhà nước nào", Ông Ken Hu, Phó Chủ tịch tập đoàn kiêm Chủ tịch Ủy ban An ninh Mạng Toàn cầu, Huawei nói.

Hướng tiếp cận an ninh mạng đầu cuối của Huawei

Câu niệm chú của Huawei với bảo mật không gian mạng là: "Không giả định, Không tin ai và Kiểm tra mọi thứ"

Trong cuốn Sách trắng này, Huawei cho thấy bản chất cách tiếp cận của mình trong 12 lĩnh vực chính: (1) chiến lược, quản trị và kiểm soát, (2) các quy trình và tiêu chuẩn, (3) các quy định và luật lệ, (4) vấn đề con người, (5) nghiên cứu và phát triển, (6) thẩm tra, (7) quản lý cung ứng từ bên thứ ba, (8) sản xuất, (9) cung cấp các dịch vụ một cách an toàn, (10) giải quyết sự cố, sai sót và vá lỗ hổng bảo mật, (11) truy xuất nguồn gốc, và (12) kiểm toán.

Các đặc điểm nổi bật trong cách tiếp cận và hoạt động của Huawei bao gồm:

- Phương pháp quản trị toàn bộ tổ chức, với Giám đốc Bảo mật Mạng Toàn cầu (GCSO) báo cáo trực tiếp cho người sáng lập và là Giám đốc điều hành của Huawei, ông Nhiệm Chính Phi (Ren Zhengfei).

- Thành viên Ban Giám đốc được bổ nhiệm làm người đứng đầu Quy trình Toàn cầu và có nhiệm vụ đảm bảo quy trình này đáp ứng được mọi yêu cầu về an ninh mạng.

- Tuyển dụng trên 500 chuyên gia pháp lý trên khắp thế giới để đứng đầu các luật lệ và quy định hiện hành.

- Yêu cầu của an ninh mạng đối với nguồn nhân lực là phải đảm bảo nhân viên có nền tảng phù hợp, có hành vi tuân thủ luật pháp, chính sách, quy trình và các yêu cầu Đạo đức Kinh doanh của Huawei, đồng thời, nhân viên đó phải có hiểu biết, kĩ năng và kinh nghiệm để đảm bảo hoàn thành nhiệm vụ của mình.

- Đạt được mục tiêu giáo dục nhận thức về an ninh mạng cho từng người trong số 150.000 nhân viên của Huawei.

- Thành lập Trung tâm Năng lực Công nghệ Bảo mật (Security Technical Competence Centre) phục vụ cho hoạt động nghiên cứu và phát triển và toàn bộ hoạt động kinh doanh của Huawei nhằm mục tiêu xây dựng an ninh trong thiết kế, đối phó với các cuộc tấn công mạng và nâng cao khả năng phòng vệ an ninh.

- Xây dựng quy trình đánh giá an ninh mạng đa tầng để đảm bảo rằng các sản phẩm được kiểm tra lại về các vấn đề bảo mật tiềm tàng từ khâu thiết kế, phát triển sản phẩm, đến khâu triển khai xây dựng và bảo trì các hệ thống mạng của các khách hàng trên khắp thế giới. 

- Vận hành ba mô hình đánh giá khác nhau nhằm liên tục nâng cao mức độ an ninh của sản phẩm:

+ Phòng thí nghiệm an ninh mạng nội bộ của Huawei, chịu trách nhiệm tự kiểm tra an ninh và cho phép khách hàng hoặc bên thứ ba thực hiện tự kiểm tra từ bên trong chính thiết bị đó.

+ Phòng thí nghiệm an ninh mạng ngoại bộ của Huawei, chịu trách nhiệm đánh giá an ninh cấp vùng và cấp quốc gia

+ Làm việc với các cơ quan và cá nhân đánh giá bên thứ ba độc lập để đánh giá an ninh không thiên vị đối với các sản phẩm của Huawei

- 1.188 kiểm soát viên đảm bảo an toàn và an ninh trong suốt quá trình sản xuất, thực hiện kiểm tra từ vật liệu thô cho tới thành phẩm.

Những hoạt động tiếp theo của Huawei?

Huawei có kế hoạch công bố một Danh sách 100 điều các khách hàng phản ánh với Huawei liên quan tới an ninh mạng, với mục đích giúp các tổ chức hiểu rõ hơn các kiểu câu hỏi nên đưa ra và các yêu cầu an ninh mạng nên cân nhắc đưa ra cho các nhà cung cấp xem liệu họ có thể đáp ứng được không.

Viễn cảnh Bảo mật Không gian Mạng (Cyber Security Perspectives) được đồng sáng tạo bởi các giám đốc điều hành của Huawei từ khắp nơi trên thế giới và được chỉnh sửa bởi John Suffolk, Giám đốc An ninh mạng Toàn cầu (GCSO) của Huawei.

Để biết thêm thông tin chi tiết về Sách trắng, xin mời ghé thăm: http://pr.huawei.com/en/connecting-the-dots/cyber-security/index.htm