Dopo oltre un decennio di voci e osservazioni puntuali sulla complicità di Huawei nelle attività di spionaggio informatico di Pechino, un rapporto fornito al governo australiano sul centro dati di Port Moresby in Papua Nuova Guinea ora è il primo a documentare evidenze concrete di tale attività.
Come riporta l’Australian Financial Review, il rapporto — commissionato dal National Cyber Security Center della Papua Nuova Guinea, che è finanziato dal dipartimento degli Affari esteri e del commercio australiano — rivela l’utilizzo di un software di crittografia obsoleto da parte di Huawei, mentre le impostazioni del firewall non sono sufficienti per un centro progettato per archiviare l’intero archivio dati del governo della Papua Nuova Guinea.
La documentazione arriva in un momento cruciale per il destino di Huawei nello sviluppo della rete 5G in molti Paesi occidentali, tra cui l’Italia e la Germania.
Il rapporto dimostra che il layout del data center non corrisponde al design previsto, aprendo importanti lacune di sicurezza: “Gli switch principali non si trovano dietro i firewall. Ciò significa che l’accesso da remoto non sarebbe rilevato dalle impostazioni di sicurezza all’interno delle applicazioni”. Il dossier suggerisce inoltre alle istituzioni australiane che tali falle di sicurezza indicano uno sforzo deliberato da parte di Huawei per implementare una sicurezza informatica lasciva.
Le 65 pagine del rapporto forniscono un catalogo delle principali falle di sicurezza, spiega l’Australian Financial Review, e afferma che l’algoritmo utilizzato per crittografare le comunicazioni era considerato “obsoleto” dagli esperti di sicurezza informatica due anni prima della loro installazione a Port Moresby nonostante le dichiarazioni di Huawei secondo cui Huawei “il progetto è conforme agli standard di settore appropriati e ai requisiti del cliente”.
Tuttavia, nonostante gli sforzi deliberati da parte di Huawei, il piano è stato parzialmente contrastato dal fatto che il centro, dove era previsto il trasferimento di tutti i dati dei vari dipartimenti del governo della Papua Nuova Guinea, non è mai entrato pienamente in funzione, poiché non sono stati stanziati fondi sufficienti per la sua manutenzione e l’operatività.
La mancanza di un budget operativo ha significato che le funzioni di base come le licenze del software erano scadute, mentre le batterie si erano deteriorate e non venivano sostituite.
Il sostegno della Cina per un centro dati in Papua Nuova Guinea, utilizzando la tecnologia di Huawei, è stato discusso per la prima volta nel 2009 durante una visita a Pechino dell’allora primo ministro Sir Michael Somare. L’anno successivo, Exim Bank, che ha il compito di attuare gli obiettivi strategici e commerciali di Pechino, ha accettato di fornire il prestito per lo sviluppo del centro. Ma il progetto non è stato lanciato prima del 2014, quando l’allora primo ministro Peter O’Neill ringraziò la Cina e lodò Huawei durante una cerimonia a Port Moresby: “Consentitemi di cogliere l’occasione per ringraziare il governo cinese per aver reso disponibile il prestito agevolato di 53 milioni di dollari tramite la Exim Bank”.
Il centro dati faceva parte di un cosiddetto sistema informativo governativo integrato, che prevedeva il collegamento di 57 siti a Port Moresby e cinque centri regionali. Come parte del progetto, il capo di ogni dipartimento governativo della Papua Nuova Guinea era stato incaricato di trasferire tutti i dati nel nuovo centro.
La mancanza di fondi ha significato che solo una manciata di agenzie governative hanno effettivamente — e fortunatamente — spostato i loro dati nella struttura, e all’inizio di quest’anno il governo del Papua Nuova Guinea ha dovuto ammettere che il progetto era un fallimento, lasciando il Paese con un debito di 53 milioni di dollari nei confronti del governo cinese — tramite Exim Bank — e un centro dati a malapena operativo.
Per rimettere in funzione il centro dati, Port Moresby ha chiesto assistenza finanziaria al governo australiano, una richiesta che ha portato alla decisione di commissionare del rapporto che svela la deliberata mancanza negli standard minimi di sicurezza cyber. Finora Canberra ha rifiutato di fornire finanziamenti per ammodernare il centro e il rapporto osserva che sarebbe necessaria una “ricostruzione da zero” per rendere operativa la struttura.
Un rapporto pubblicato quest’anno dal think tank Australian Strategic Policy Institute ha rilevato che la Cina ha fornito 147 milioni di dollari per progetti digitali in Papua Nuova Guinea, tra cui il centro dati nazionale, la rete nazionale a banda larga e una carta d’identità biometrica. Tuttavia, è l’Australia a rimanere il più grande donatore negli ultimi 12 anni, con 262 milioni di dollari forniti per progetti digitali.
