'Aanvullende veiligheidsmaatregelen' bij aanleg 5G, positie Huawei onbekend
Het kabinet gaat Nederlandse telecomproviders verplichten om aanvullende beveiligingsmaatregelen te nemen bij de aanleg van het nieuwe mobiele netwerk 5G, de opvolger van 4G. Dat schrijft minister Grapperhaus (Justitie en Veiligheid) aan de Tweede Kamer.
Er zijn zorgen over de betrokkenheid van Huawei bij de aanleg van deze nieuwe mobiele netwerken, vanwege de band met moederland China. Onder leiding van de NCTV heeft een Taskforce hier onderzoek naar gedaan. Huawei heeft telkens gezegd dat er geen reden is tot zorg.
Volgens de minister nemen de drie grote telecomproviders (KPN, T-Mobile en VodafoneZiggo) al maatregelen. Een daarvan is dat er extra strenge eisen worden gesteld aan partijen die apparatuur leveren voor de 'kritieke onderdelen' van het telecomnetwerk. Wat daar precies onder valt, is niet duidelijk. Welke andere maatregelen de providers moeten nemen, is ook niet duidelijk. Grapperhaus schrijft dat er in het najaar hierover meer bekend wordt gemaakt.
Mogelijke aanvallen
De extra beveiliging moet de weerbaarheid van de telecomproviders vergroten. Grapperhaus noemt in de brief specifiek een toename van het aantal aanvallen in de zogeheten supply chain. Dit is de toeleveringsketen, het proces waarin het product wordt gemaakt en vervolgens wordt beheerd.
De Amerikanen en Britten waarschuwen ook voor aanvallen in de toeleveringsketen.
"Daar komt, na het hacken van het bedrijf, de meeste dreiging vandaan", zegt Frank Groenewegen, beveiligingsexpert bij digitaal beveiligingsbedrijf Fox-IT. "De Amerikanen en Britten waarschuwen ook voor aanvallen in de toeleveringsketen."
In dat proces zouden hackers die opereren in opdracht van landen kunnen proberen om toegang te krijgen tot de hard- en software van apparatuur die wordt verkocht door netwerkleveranciers. Zo kunnen ze in de organisatie waar de apparatuur komt te staan infiltreren.
Dit kan twee doelen hebben, schrijft de minister. Aan de ene kant kunnen de hackers proberen allerlei gegevens te verzamelen. Denk aan bedrijfsgeheimen of militaire strategieën. Het andere doel is sabotage, bijvoorbeeld het platleggen van het energienetwerk of het internet.
Eerder maakte NOS op 3 deze uitlegvideo over 5G en de rol van Huawei:
De dreiging vanuit China en de mogelijke rol van Huawei, worden in de Kamerbrief niet bij naam genoemd. Wel schrijft Grapperhaus: "De risico's voor de nationale veiligheid worden significant vergroot als de dienstverleners ook nog eens afkomstig zijn uit landen die een offensief cyberprogramma voeren tegen de Nederlandse belangen." Daarmee lijkt de minister naar China te wijzen en dit is in lijn met wat de AIVD eerder dit jaar zei.
"Telecomproviders zullen breed moeten gaan kijken, als ik in zee ga met deze partij, op welke manier hebben ze dan toegang?", zegt Groenewegen. "Bijvoorbeeld tot welke software, welk deel van het netwerk? Het gaat dan ook niet alleen om hard- en software, maar ook om mensen. Wie kan er het datacenter in?"
De overheid gaat straks via de telecomwet zeggen: je moet dit en dat doen. Dat gebeurt niet snel.
Hij vindt het nog te vroeg om de te zeggen of dit genoeg is. "Dat zal moeten blijken uit de eisen die worden gesteld." Volgens Groenewegen is het instellen van onafhankelijk toezicht bij het implementeren van de maatregelen heel belangrijk. "De telecomproviders hebben natuurlijk zo hun eigen belangen."
Lijstjes gemaakt
"De overheid gaat straks via de telecomwet zeggen: je moet dit en dat doen", zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit. "Dat gebeurt niet snel, hier hebben ze gewoon met de telecomproviders lijstjes gemaakt. Daarnaast is met de sector afgesproken dat er structureel naar gekeken moet worden. Hier heeft de regering toch wel wat voor elkaar gekregen."
Met deze brief wordt er dus geen duidelijk besluit genomen over de rol van Huawei in Nederlandse 5G-netwerken. Nederland lijkt zich aan te sluiten bij de Duitse strategie. Daar besloot men al eerder tot strengere regels. Huawei liet daarop weten dat het verwacht daaraan te kunnen voldoen. Dit zou uiteindelijk ook kunnen leiden tot een Europese strategie met dit uitgangspunt.
Zo'n strategie maakt een keihard 'nee' niet nodig, maar houdt de mogelijkheid open om alsnog te zeggen dat een bedrijf niet aan de eisen voldoet.
"Mijn inschatting is dat Nederland niet vermalen wil worden tussen de VS en China", zegt Jacobs. "Huawei niet toelaten geeft gedonder met China, wel Huawei toestaan geeft gedonder met de VS. Ze schuiven het dus voor zich uit. Ik zie dit als het begin van het traject. Het blijft voor nu een cliffhanger."
Alsnog buitensluiten
"Deze brief maakt denkbaar dat Huawei alsnog wordt buitengesloten, maar dat is wel speculatief", gaat hij verder. "Het kan ook zijn dat het bedrijf wel mag meedoen, maar onder strenge eisen."
In de brief wordt niets gezegd over berichtgeving dat de AIVD onderzoek doet naar mogelijke Chinese spionage via Huawei in Nederland. Dat werd in mei gemeld door de Volkskrant.