Een aantal politieke partijen maakt zich zorgen over het beheer van de Huawei-apparatuur in de kern van het mobiele netwerk van KPN. Dat zou nog steeds in handen liggen van medewerkers van het Chinese it-bedrijf, stelt de Volkskrant. D66, VVD, CDA en SP roepen demissionair CDA-staatssecretaris Mona Keijzer van Economische Zaken & Klimaat morgen voor uitleg naar de Tweede Kamer. De bewindsvrouw heeft telecomzaken in haar portefeuille.
Hoewel KPN het met klem ontkent, stelt de Volkskrant vandaag in een artikel dat Huawei nog steeds het beheer van apparatuur in de kern van het mobiele netwerk van KPN uitvoert. Ook hebben medewerkers van Huawei ‘beheerdersrechten’ op het netwerk van KPN. Diverse KPN-bronnen, allen anoniem, beweren dit. Zo zou het beheer van het mobiele 4G-netwerk zijn uitbesteed aan Huawei.
Tweede Kamerleden vrezen dan ook voor afluisterpraktijken van de Chinese overheid via Huawei. Ze vragen zich af hoe kwetsbaar ‘onze vitale infrastructuur is voor buitenlandse beïnvloeding’ en willen hierover opheldering van minister Keijzer tijdens het vragenuurtje morgen in de Kamer.
In april 2019 werd bekend dat KPN Huawei uitsluit als leverancier voor het core-netwerk van het nieuw te bouwen 5G-netwerk. Alleen een westerse partij mag de apparatuur leveren. KPN scherpte naar eigen zeggen het securitybeleid voor vaste- en mobiele-netwerkleveranciers aan.
Risicoanalyse
De Volkskrant publiceerde zaterdag een artikel over een risicoanalyse van Capgemini uit 2010, in opdracht van KPN uitgevoerd, waaruit zou blijken dat het Chinese technologiebedrijf Huawei in het verleden ongeautoriseerde en ongecontroleerde toegang had tot de kern van het mobiele netwerk. Huawei-medewerkers zouden daardoor alle gesprekken hebben kunnen meeluisteren, zelfs die van toenmalig premier Balkenende. Bewijzen daarvoor zijn overigens niet geleverd.
In een reactie stelt KPN dat het naar aanleiding van de risicoanalyse elf jaar geleden een verbeterplan opstelde en direct uitvoerde. Ook besloot het niet over te gaan tot uitbesteding van het onderhoud en beheer van het mobiele netwerk. Het telecomconcern stelt dat het dit – tot op de dag van vandaag – zelf uitvoert, met ondersteuning van deskundigen van meerdere partijen, zoals Huawei, Ericsson en Nokia. ‘Voor al onze leveranciers geldt dat wij ze onderwerpen aan strikte veiligheidsrichtlijnen en ze allemaal moeten voldoen aan de KPN Security Policy’, schrijft de telco.
Volgens KPN heeft geen enkele leverancier ‘ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang tot de netwerken en systemen. Ook van de mogelijkheid om KPN-klanten af te luisteren of aftapinformatie in te zien, is geen sprake. Het bedrijf zegt in al die jaren nooit te hebben geconstateerd dat er door Huawei klantgegevens zijn ontvreemd uit zijn netwerken en klantsystemen, of dat er is afgeluisterd.
Geen toegang
Huawei laat in een verklaring weten nooit toegang te hebben gehad tot aftapdata. ‘Wij hebben niet kunnen meeluisteren met gesprekken van de minister-president of wie dan ook’, aldus Gert-Jan van Eck, operationeel directeur Huawei Nederland. ‘De aantijging dat de minister-president kon worden afgeluisterd door ons is volstrekt ongeloofwaardig en een onderschatting van de beveiliging van de aftapomgeving. Het kan gewoon niet.’
Ook ontkent hij dat Huawei-medewerkers ongeautoriseerde toegang hadden tot het netwerk en de data van KPN of gegevens onttrokken aan dat netwerk. ‘Het artikel spreekt daarnaast over zes medewerkers die zich ongeautoriseerd toegang zouden hebben verschaft tot klantinformatie van KPN. Deze medewerkers vielen onder de directe verantwoordelijkheid van KPN en niet van Huawei Nederland.’ Volgens Van Eck heeft Huawei het rapport van Capgemini nooit ingezien.
De verklaringen van KPN en Huawei zijn nietszeggend en wellicht bewust misleidend. Volgens Capgemini kregen derden te veel ruimte bij het beheer. KPN stelt dat geen enkele leverancier ongeautoriseerde, ongecontroleerde en ongelimiteerde toegang tot de netwerken en systemen had. Wat verstaan ze onder de leverancier? Huawei stelt dat hun medewerkers ingehuurd waren door KPN, waardoor het ‘de facto KPN-medewerkers waren’. Huawei vindt zich dus niet verantwoordelijk voor eventuele schendingen.
KPN geeft verder aan niet te hebben geconstateerd dat Huawei heeft gespioneerd, al dan niet vanuit een ander land. Maar in hoeverre is dit door KPN gecontroleerd?
KPN beweert het onderhoud zelf te doen, met ondersteuning van deskundigen van meerdere partijen. Dit zijn bijvoorbeeld Huawei medewerkers met een KPN-pet op. Volgens bronnen van de Volkskrant draait het 4G netwerk “nu vrijwel geheel” op de apparatuur van het bedrijf uit China en zouden Huawei medewerkers beheerdersrechten hebben. Dus hoe afhankelijk is Nederland van Huawei en hun medewerkers?
Huawei stelt geen toegang te hebben gehad tot aftapdata. Maar die data zijn pas aftapdata als er officieel afgetapt is en een kopie voor politie en justitie gemaakt is. Verder verwijst KPN naar haar securitybeleid op hun website, maar die is van 2017 en later en niet van de periode van het onderzoek door Capgemini. KPN scherpte haar securitybeleid aan. Blijkbaar was dit wel een aantal keren nodig.
De vraag blijft dus in hoeverre een partij als Huawei via KPN had kunnen spioneren en of zoiets ook daadwerkelijk al is gebeurd. De verklaringen van KPN en Huawei zijn niet sluitend. De kamer wil terecht antwoord van de minister.
Partijen als de staat en AIVD zullen niet zo gauw openheid van zaken geven. Dat hebben ze ook niet gedaan in de zaak van Abdul Qadir Khan. Dr. Abdul Qadir Khan stal atoomgeheimen van Ultra Centrifuge Nederland toen hij formeel voor het Fysisch Dynamisch Onderzoekslaboratorium werkte en daarmee voor het Nederlandse bedrijf Stork. Stork wilde blijven werken aan allerlei nucleaire en high tech defensieprojecten. Stork koos toen voor de doofpot en het uiteindelijk het wegwerken van de klokkenluider in plaats van het verder voorkomen van diefstal. De staat werkte mee aan deze doofpot, want ze wilde defensie compensatieorders via Stork binnenslepen. Dus krijgt de kamer nu wel antwoorden?
Wat kunnen we doen tegen dit soort mogelijke praktijken? De Cyber Security Raad (CSR) adviseert het nieuwe kabinet om 833 miljoen euro extra te investeren om de cyberweerbaarheid te vergroten. Dit is gebaseerd op een aantal aannames ten aanzien van omvang, aard en oorzaak. We kunnen ook praktisch onderzoek doen naar kwetsbaarheden in de digitale infrastructuur. Bijvoorbeeld, defensie heeft sinds de jaren 60 pentesten uitgevoerd op harde doelen. Dat was nuttig voor de bescherming van de harde infrastructuur en voor de geoefendheid van de betrokken militairen. De MIVD en AIVD zou onder coördinatie van de Nationaal Coördinator Terrorismebestrijding en Veiligheid pentesten kunnen doen bij zachte doelen. Het NCTV kan ook op eigen initiatief inspecties laten doen.
Moetem we nu allemaal naar Cisco 😉
De anti-Huawei lobby is toch een uiting van angst voor een bedrijf (concurrent) dat met 5G voorop loopt.
@Jan, ik weet niet of Huawei echt voorop loopt op het gebied van 5G, waarschijnlijk wel bij het ontwikkelen van de standaard voor 6G. Maar de manier waarop de Volksrepubliek China harde en zachte infrastructuur levert, beheert, voorfinanciert of overneemt, kan je alleen maar doen denken aan de oorlogen om handelsroutes tussen koloniale en feodale rijken, inclusief het Habsburgse rijk. Zweden met Ericsson opereert heel anders dan de Volksrepubliek met zijn technologiebedrijven, ook de private. Chinese staatskapitalische reuzen als Huawei moeten de CCP dienen (volgens het socialisme met Chinese karakteristieken). Dat gaat net zo als de Russische oligarchen Poetin en zijn vrienden bij de FSB / KGB moeten dienen (en laten bijverdienen). Hongarije, Servië, Griekenland en veel derde wereld landen weten dat hulp van de Volksrepubliek ook een prijs heeft. China steekt niet onder stoelen of banken dat het de machtigste natie van de wereld wil worden en niet het land met de grootste bevolking wil zijn. Het feit dat Nederland panda’s mag huren, zegt veel over hoe de CCP naar ons land kijkt. Het gaat dus om veel meer dan Huawei alleen.
Het Duitse Bundesamt für Sicherheit in der Informationstechnik heeft de Huawei apparatuur uitgebreid getest en niets gevonden.
Geopolitiek voeren middels handelsoorlogen zoals de Amerikanen nu doen leidt alleen tot het verder afbrokkelen van de “Amerikaanse droom”.
Tel de bevolkingsaantallen van China, India, Indonesie en Rusland eens bij elkaar en vergelijk dat met de huidige EU die nog niet de helft van Europa betreft.
@Jan, jij weet ook wel dat meerdere regeringen backdoors hebben geëist van leveranciers van hardware en software. De verhalen van de USA PATRIOT Act en de NSA kennen we allemaal. Australië kent de Assistance and Access Bill 2018 die opsporingsdiensten de bevoegdheid geeft om bij technologieleveranciers te eisen dat ze decryptiesleutels afgeven of een backdoor inbouwen. Landen zoals de Volksrepubliek China, de Russische Federatie en de Volksrepubliek Korea hebben dergelijke wetten niet eens nodig. Een backdoor in de infrastructuur zou spionage door andere landen kunnen bevorderen omdat de backdoor altijd bekend kan worden. Backdoors zullen daarom niet standaard in een product van Huawei zitten en ook niet door het BSI gevonden worden. Backdoors kunnen altijd alsnog via upgrades toevoegd worden. Een inlichtingendienst zal eerder besmette apparatuur laten leveren aan een specifieke klant, zoals Iran een aantal keren gemerkt heeft. Backdoors kunnen je ook kwetsbaar maken voor sabotage. Elk modern leger beschikt over eenheden die digitaal kunnen aanvallen, inlichtingen verzamelen (en kunnen helpen bij het verdedigen bij aanvallen van anderen). Backdoors heb je ook niet nodig als je het infrastructuurbeheer mag doen, of als je kan aftappen. Een telecomdienstverlener moet aftappen zelfs mogelijk maken (zonder backdoor). Standaard iedereen aftappen is echter heel kostbaar zoals diverse communistische landen hebben ondervonden.
De Volksrepubliek China wil snel leidend worden op alle strategische gebieden. De Volksrepubliek China (en niet alleen zij) pleegt daarom op grote schaal industriële spionage. De grote hightech bedrijven in de Volksrepubliek China krijgen/kopen die informatie en bouwen die knowhow verder uit. Handelsoorlogen werken alleen tegen veel zwakkere partijen, anders wordt het een verlies-verlies situatie. Landen met een open en kleine eigen markt (zoals Nederland) zijn daarvoor het meest gevoelig. Landen kunnen elkaar ook treffen door handelsblokkades in één of twee richtingen. Bij een conflict tussen de EU en de Volksrepubliek China gaat de laatste altijd zwakke EU-landen onder druk zetten om gemeenschappelijk optreden tegen te gaan. Dat doen ze heel slim. De aanschaf van een nieuwe nationale telecominfrastructuur is vergelijkbaar met die van de aanschaf van grote wapensystemen. Voor Nederland is het van strategisch belang dat we altijd reserveonderdelen en upgrades voor onze telecominfrastructuur geleverd krijgen. Zouden we voor onze luchtmacht Chendgu J-20 onderscheppingsjagers kopen?
@Jaap
ik heb je betoog meermaals gelezen en vraag me af hoe je aan al die wijsheden komt.
Veel in je betoog is een herhaling van de US/EU-propaganda-machine, andere uitspraken getuigen van te weinig informatie of het waanidee dat wij nederlanders alles beter weten.
Vele EU-staten/bedrijven hebben vrijwillig hun produktie naar China verlegd vanwege de lage lonen en zo hun industriele voorsprong verkocht, daar was geen spionage voor nodig.
@Jan, de informatie is in openbare bronnen te vinden, journalistieke en ook wetenschappelijke met bronvermelding.
Jan, heb jij argumenten waarom met name de buurlanden van China niet verontrust hoeven te zijn door de ontwikkelingen vanuit de Volksrepubliek?
Wat versta je onder een US/EU-propaganda-machine (zeker na Trump)?
Waneer zou die US/EU-propaganda-machine bijvoorbeeld kritiek hebben geuit op de USA PATRIOT Act en de NSA? Je bent niet te volgen.
Nederland ziet de Volksrepubliek China vooral als land van goedkope producten voor in de Lidl of Action en is niet geïnteresseerd in de bewonderenswaardige snelle technologische en economische ontwikkelingen in de Volksrepubliek. Het China-beleid van Blok laat juist zien dat wij Nederlanders geen ideeën hebben over de geopolitiek van de Volksrepubliek China en volstrekt pretentieloos zijn.
Het verplaatsen van productiebedrijven naar de Volksrepubliek China, India, enz., heeft met een gebrek aan innovatie te maken. De CEO van ASML heeft daar slimme dingen over gezegd (over innovatie en wederzijdse afhankelijkheid versus boedelverkoop).
Ergens in 2001, 2003 kreeg ik van de Hanzehogeschool Groningen het voorstel om drie Chinese studentes een klanttevredenheidsonderzoek voor ons te laten doen. Dat verliep allemaal vlekkeloos en na een maand of twee kwam er een evaluatiegesprek met hun (Chinese) begeleidster. Tijdens het gesprek bleek er iets nodig waarvoor ik naar beneden moest en bij terugkomst merkte ik direct dat de drie studentes aangeslagen waren en zelfs even panisch waren toen ik de trap weer opvloog. Het kantoor was nog maar net in gebruik genomen en nog helemaal leeg op het meubilair en een rdp-server na die ik ging gebruiken als werkplek. De dame zelf was verder ijzig kalm en de drie studentes kwamen langzamerhand wat tot rust tijdens het gesprek. Wel viel het me op dat er regelmatig naar de server onder mijn werktafel gekeken werd maar dat wekte bij mij op dat moment geen verdere verdenking.
In het weekend erop ging ik met de Windows Verkenner door een aantal folders. Als de files werden weergegeven haalde Windows 2000 aansluitend daarop een icon voor de exe- en dll-files om voor de filenaam weer te geven. Zo’n icon kan embedded zijn of hij heeft een verwijzing naar een image bestandje, of hij haalt op wat er standaard bij het filetype hoort, Bij één .exe file stokte de voortgang een seconde of drie, vier, floepte verder en begon er zich allerlei harddisk-io te manifesteren. Enkele dagen daarna bleek na activatie van de RDP-service dat ING-Bankieren bij het opstarten een blue screen gaf.
Een tijd later ben ik op een zondag uitgebreid gaan kijken en toen bleek dat er ‘hidden’ folders waren die niet konden worden geleegd, ook niet als je alle folder-attributen op normaal had gezet. De folders zelf lieten zich ook op geen enkele manier verwijderen. Met een disk-editor heb ik later gezien dat er allerlei Windows98 systeem-files in folders zaten. Dit was een 2000 of 2003 Server. Sommige met een naam die ook bestond in Win2000 hadden de grootte van die van Win98. Vanwege een deployment probleem met Exact voor Windows (die hadden per ongeluk een aantal Win98 DLL’s en EXE’s meegenomen in hun Packaging & Deployment floppies waardoor Pervasive in casu Btrieve tienmaal trager werkte op een Win2000 dan normaal) was ik gespitst op groottes van gelijknamige dll’s.
Ik heb er nooit werk van gemaakt omdat er alleen maar verdenkingen waren. Ik vroeg me natuurlijk ook af waarom wij? Maar het kan natuurlijk zijn dat dit systematisch gebeurde en er dan in tweede instantie wel gekeken werd of er iets van gading te vinden was.
“heb jij argumenten waarom met name de buurlanden van China niet verontrust hoeven te zijn”
Dat is een andere discussie, dat die landen verontrust zijn en terecht is hier geen punt.
Het gaat om de maatregelen die tegen Huawei genomen zijn en in hoeverre die terecht zijn.
“Wat versta je onder een US/EU-propaganda-machine”
Beginnen we met de manier waarop de eu “fake-news” benoemt.
De website https://euvsdisinfo.eu/ gefinancierd door de EU en geinitieerd door de
baltische staten die voor en tijdens de tweede wereld oorlog broeinesten van fascisme waren.
Net als “bellingcat” verspreiden die geruchten die na toetsing niet houdbaar zijn.
Wie momenteel bellingcat financiert is onduidelijk het is een vlechtwerk van NGO’s naar het patroon dat Soros gebruikt die meer als 150 NGO’s financiert en zo invloed uitoefent die niet kontroleerbaar is.
De kritiek op NSA / CIA / USA Patriot Act is van Snowdon gekomen en heeft met de discussie niets te maken.
In Duitsland bestaat zoiets als de “Atlantik Brücke” dat is een groep politici die de belangen van EU (hoofdzakelijk duitsland) en Amerika dienen. Als Voorbeeld Norbert Röttgen die te pas en te onpas pro-USA kommenteert. Er zijn meer van dat soort klubjes.
Ook mw. Ursula von der Leyen is niet demokratisch op haar positie gezet na het spelletje met Weber. Nog even een citaat:”Kort na de verkiezingen van 2013 werd bekend dat de NSA ook de Duitse bondskanselier Angela Merkel en meer dan 30 andere staatshoofden en regeringsleiders heeft afgeluisterd”. Rusland wordt steeds gekritiseerd maar wat doet de USA?
Obama heeft met dronen ongeveer 3000 mensen laten vermoorden, die dronen werden via een duitse basis gestuurd, dat hij de nobelprijs voor de vrede kreeg is cynisme puur.
Nawalny als rechtsextremist wordt door de EU als “oppositie” gekenmerkt maar heeft in Rusland
zelf nauwelijks aanhangers, er wordt door de westerse media een beeld geschetst dat vals is.
Om duidelijk te krijgen hoe berichtgeving gemanipuleerd wordt kun je (proberen) https://www.nachdenkseiten.de/ te lezen waar journalistiek nog dieper ingaat op beweringen en dan vast stelt dat veel berichtgeving in de medien op leugens baseert.
Even terzijde mijn vrouw beheerst de russische taal en bekijk ook wat daar vandaan komt.
Om een lange discussie kort te maken, 1 bedrijf boykotteren omdat het uit China komt is verdacht. China is inmiddels met de digitalisering veel verder als de EU (447 millioen inwoner) of Europe (747 millioen inwoners).
Ben je vergeten dat de NSA zelfs Cisco-apparaten afgevangen heeft om ze met backdoors te voorzien, dat artikel kun je zeker nog vinden.
Politiek stinkt overal, mij stoort de extreme schijnheiligheid van “het westen”,
vergelijk Kosovo maar eens met de Krim.
@Rob
zo te zien heb je de meest basale veiligheidsregels niet in acht genomen . . . .
@Jan, voor dat incident inderdaad zeker niet. Daarna is maar wat je onder het meest basaal verstaat. Logins van klanten e.d. hadden we voor die tijd altijd al op papier in de brandkast van de backups. Dat hebben we zo gelaten. Nog maar enkele jaren zijn we met zero-trust virtuele netwerken en end-to-end-protection bezig. Voor die tijd zou de overhead in kosten en performance voor de meeste klanten nog onaanvaardbaar zijn geweest. Nog maar recent kunnen we dat betaalbaar over de hele breedte toepassen. Binnen een enkele klantomgeving blijf je sowieso kwetsbaar. We hoeven pakketleveranciers van huisartsen, tandartsen, notarissen e.d. echt niet te gaan selecteren op veiligheidscertificaten e.d. Dan hou je letterlijk geen enkele klant meer over. Het blijft ‘work in progress’.