'Huawei had onbeperkt toegang tot miljoenen klantgegevens van Telfort'
Het Chinese bedrijf Huawei heeft onbeperkt toegang gehad tot de klantgegevens van miljoenen Telfort-abonnees. Dat blijkt uit een vertrouwelijk rapport uit 2011 van Telforts moederbedrijf KPN, dat de Volkskrant in handen heeft.
In het onderzoek kwam aan het licht dat Huawei in de klant- en facturatieomgeving van Telfort verschillende mogelijkheden had geïnstalleerd om die gegevens binnen te halen. Het systeem hield niet bij hoe vaak en door wie de data daadwerkelijk werden ingezien. Uit het onderzoek van KPN bleek wel dat een van de methoden "regelmatig" werd gebruikt.
Na deze ontdekking zou Huawei meerdere keren zijn gevraagd om de toegang te wijzigen of af te sluiten, maar daar ging het Chinese bedrijf niet op in. De onderzoekers schrijven dat de bevindingen leidden tot "onveiligheid, instabiliteit en/of het risico op datalekken".
Huawei kon bij klantgegevens en als ze wilden hadden ze alles kunnen doorsluizen naar China.
KPN zegt in een reactie dat er geen enkele aanleiding was om "te veronderstellen dat er gegevens van Telfort-klanten waren ontvreemd, door wie dan ook". Maar volgens meerdere betrokkenen kan dat zonder nader onderzoek niet met zekerheid worden gezegd.
"We wisten dat het foute boel was. Huawei kon bij klantgegevens en als ze wilden hadden ze alles kunnen doorsluizen naar China. Er is alleen nooit onderzoek gedaan naar wat ze precies hebben gekopieerd", zegt een van de betrokkenen tegen de Volkskrant.
Volgens KPN laat het rapport zien dat het bedrijf destijds scherp was op mogelijke datalekken. Ook zijn volgens een woordvoerder "alle verbetermaatregelen" uit het rapport doorgevoerd. Huawei zegt tegen de Volkskrant niet te kunnen reageren op het rapport.
Belangrijke les
"Dit interne rapport zegt niet dat alle klantgegevens van Telfort naar China gekopieerd zijn, maar wel dat Huawei zichzelf de positie had gegeven om dat te kunnen doen", zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen tegen de Volkskrant.
Volgens hem geeft het rapport een belangrijk inzicht in de werkwijze van het Chinese bedrijf. "Dat is kennelijk hoe ze hun software leveren. En dat is waar we nu nog steeds een belangrijke les aan hebben: Huawei blijkt zelf diep in de geleverde systemen aanwezig."
Volgens Michel van Eeten, hoogleraar cybersecurity aan de TU Delft, waren alle basismaatregelen voor de beveiliging destijds onvoldoende. Inmiddels is er wel veel veranderd, zegt hij. "We kijken nu anders naar Huawei dan tien jaar geleden. De risico's die tien jaar geleden acceptabel waren, zijn dat nu niet meer."
5G-netwerk
De afgelopen jaren is KPN meerdere keren door inlichtingendienst AIVD gewaarschuwd voor Chinese spionage. In 2019 stuitte KPN daadwerkelijk op een toegangspad naar klantgegevens, waar alleen Huawei gebruik van kon maken.
Vanwege het risico op spionage heeft het kabinet bepaald dat Huawei niet betrokken mag zijn bij de aanleg van de gevoeligste delen van het 5G-netwerk. Het Chinese bedrijf mag alleen nog onderdelen leveren voor het radio- en antennenetwerk.
