华为全球网络安全和隐私官John Suffolk
以下为华为全球网络安全和隐私官John Suffolk演讲全文:
各位好,我是John Suffolk,华为全球网络安全和隐私官。我们赞成任何政府或企业设定高的网络安全保护和个人数据保护目标。
过去30年来,我们在170多个国家支持客户达成上述目标。我们在这方面拥有良好的记录。
不能仅凭产品外壳上的名字来判断究竟是谁生产了产品中的部件。首先我想明确一点:仅仅根据某供应商提供的设备上的商标,就认定该产品完全来源于这个供应商,这种想法是错误的。某个产品上可能印着华为的名字,但通常只有大约30%的部件来自于华为。
2012年3月,美国政府问责办公室发布的一份报告评估了供应链风险,提到“一台简单的笔记本电脑可能包括来自18家公司的部件”。其他涉及供应链部件的报告也证明,技术产品和服务在本质上是全球性的。
这对其他企业来说也是如此。以欧洲电信供应商为例,他们的部分设备是在中国生产的。这些供应商与中国国有机构建立了合资企业,在中国进行设备生产,使用中国买来的部件。这种所谓的欧洲技术在美国的使用范围很广泛。
大多数全球知名的社交媒体企业也使用亚洲和中国的技术1。
2016年,苹果公司有766家全球供应商,其中346家位于中国大陆。简言之,约50%的iPhone是在中国生产的。
全球供应链每年造成数以千计的安全漏洞。
-
2017年和2018年,某些厂商公布的漏洞/问题总数超过30,000 2。在漏洞数量最多的十家公司中,美国技术公司就占了九家。这些产品都可能带来国家安全风险。
-
2017年,发生了重大恶意软件攻击事件,如Wannacry、Petya和Locky等,以及Intel、AMD和ARM设计问题导致的主要硬件问题。
这些问题给美国造成了影响,但没有一个和华为有关。
所有政府和企业应实现基本的“网络卫生”,加强自我保护。
我们并不是不知道应如何保护自己,避免那些最坚定的攻击者发起的攻击。我们有许多国际标准,包括ISO系列标准。此外,我们也有云计算评估体系。
我们真正需要的是国际层面的统一协作,共同制定全球一致的安全标准、认证和最佳实践。
大量证据表明“网络安全卫生”的基本措施仍未落地,甚至在美国联邦政府和机密领域也是如此。
某报告显示,1,200名抽样的美国联邦政府合同商无法满足美国标准提出的安全期望,包括航空航天和国防领域的标准。
低水平的“网络安全卫生”导致了多起大型数据泄露事件,如雅虎、美国人事管理办公室、Target Stores、eBay、Equifax等组织遭遇的泄露事件。
没有任何一起攻击、数据泄露或缺陷是华为导致的。华为将设计安全机制融入产品和部署。这个机制树立了一个高标准,很少有公司能满足这种标准。
我们是全世界最开放、最透明、接受审查最多的公司,对此我们感到自豪。政府、客户及其专业团队对华为实施全面验证,对此我们感到自豪。某国政府曾说:“我们对华为的管理机制可以证明是全球要求最高、最严苛的机制”。
我们允许政府和客户接触我们最梦寐以求、最珍贵的知识产权,以全面满足他们的要求。对此我们感到自豪。
但这并不是说我们是完美的,我们能一直输出完美的代码,或者我们能确保所有流程能一次性实施到位。世界上没有哪家公司能这么说。我们将继续在研发领域投入数十亿美金,解决任何识别出来的问题,继续实现改进。
我们的使命是为客户提供最安全、最优秀、最环保的产品和服务。我们追逐这一使命的步伐永远不会停歇。我们将持续聚焦为客户提供安全的产品。我们也会持续聚焦个人数据保护,绝对不会出售数据。
网络安全解决方案将取决于一致的国际标准认证机制以及开放和透明。政治化的做法无法保障网络安全。
谢谢!
1 “独家:谷歌、亚马逊和微软纷纷购买中国制造的网络设备”,《连线杂志》 https://www.wired.com/2012/03/google-microsoft-network-gear/ (2012年3月30日)
2 已知漏洞的负责任公布(按类型、厂商风险严重程度),https://www.cvedetails.com/browse-by-date.php