‘Huawei kon alle gesprekken van KPN-klanten afluisteren’

Logo van Huawei op de voorgevel van een filiaal in Canada met antenne boven op het dak

Ruim tien jaar geleden had Huawei toegang tot in de kern van het netwerk van KPN. Zodoende kon het alle telefoongesprekken van mobiele klanten van de provider afluisteren, waaronder die van toenmalig minister-president Jan-Peter Balkenende. KPN vreesde voor het voortbestaan van het bedrijf als het nieuws naar buiten zou komen. KPN en Huawei ontkennen de aantijgingen.

Dat schrijft de Volkskrant. De krant heeft de hand weten te leggen op een geheim rapport van Capgemini uit 2010.

‘Huawei had stiekem toegang tot klantgegevens van Telfort-klanten’

Eind maart publiceerde de Volkskrant een artikel waarin het stelde dat Huawei jarenlang stiekem toegang had tot een database met klant- en facturatiegegevens van Telfort-klanten. Het Chinese technologiebedrijf kon zodoende onbeperkt en ongemerkt klantgegevens inzien, wijzigen of verwijderen. Er was bovendien geen logging en monitoring ingesteld. Huawei kon hierdoor de database raadplegen zonder dat iemand dat in de gaten had.

In het vertrouwelijke rapport van KPN uit 2011 stond tevens dat Huawei een script had geïnstalleerd waarmee het bestanden kon verplaatsen naar een productie-omgeving. Volgens de opstellers van het rapport deed het techbedrijf dat ‘regelmatig’. HP, dat op destijds een klant- en facturatieomgeving voor Telfort-klanten implementeerde, zou meerdere keren aan Huawei gevraagd hebben om de toegang tot klantgegevens te sluiten. Huawei gaf daar geen gehoor aan, wat volgens KPN zorgde voor ‘onveiligheid, instabiliteit en/of het risico op datalekken’.

Een ingewijde vertelde tegenover de krant dat het ‘foute boel’ was. “Huawei kon bij klantgegevens en als ze wilden hadden ze alles kunnen doorsluizen naar China. Er is alleen nooit onderzoek gedaan naar wat ze precies hebben gekopieerd.” De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) waarschuwde KPN de afgelopen jaren meerdere malen voor spionage vanuit China.

Huawei reageerde op de berichtgeving van de Volkskrant. Het technologiebedrijf zei dat KPN toestemming had gegeven voor de toegang tot de klant- en facturatieomgeving.

‘Huawei luisterde de regering af’

Het verhaal krijgt nog een staartje. De Volkskrant heeft vandaag een artikel gepubliceerd waaruit blijkt dat het verhaal nog omvangrijker en ernstiger is dan aanvankelijk gedacht. Het dagblad baseert zich daarbij op een geheim rapport van Capgemini uit 2010, dat in handen is van de krant. Om de kosten te drukken overwoog KPN om het management van de netwerkapparatuur volledig in handen van Huawei te leggen. Daarnaast had de AIVD gewaarschuwd dat ‘de directie van Huawei nauwe banden [heeft] met de Chinese overheid’. Capgemini werd destijds gevraagd om een risicoanalyse te maken om te zien hoe het Chinese bedrijf zich binnen KPN gedroeg.

De bevindingen van Capgemini waren niet mis. In het onderzoek kwam naar voren dat Huawei vanuit China ongeautoriseerde toegang had tot de kern van het mobiele netwerk van KPN. Het bedrijf kon volgens de onderzoekers ‘ongeautoriseerd, ongecontroleerd en ongelimiteerd’ mobiele telefoonnummers van KPN-klanten afluisteren die na 28 oktober 2009 plaatsvonden.

Meerdere bewindslieden belden destijds via het netwerk van KPN, waaronder Guusje ter Horst (Binnenlandse Zaken), Eimert van Middelkoop (Defensie) en minister-president Jan-Peter Balkenende. Of de bewindslieden ook daadwerkelijk zijn afgeluisterd, hebben de onderzoekers niet kunnen vaststellen. Als Huawei meeluisterde, werd dat niet geregistreerd. Daarnaast was het programma dat Huawei gebruikte in het Chinees. ‘Omdat de interface gebruikmaakt van Chinese tekens is het onbekend welke handelingen daadwerkelijk worden uitgevoerd’, aldus het rapport.

KPN vreest voor voortbestaan

De bevindingen van het Capgemini-rapport waren zo explosief, dat KPN vreesde voor haar voortbestaan. Zo staat er volgens de Volkskrant in het rapport het volgende:

“Het voortbestaan van KPN Mobiel is ernstig in gevaar omdat mogelijk vergunningen worden ingetrokken of overheid en bedrijfsleven hun vertrouwen in KPN opzeggen indien bekend wordt dat de Chinese overheid ongecontroleerd mobiele KPN-nummers kan afluisteren en het netwerk kan platleggen.

 Indien de door de onderzoekers geconstateerde gebreken publiekelijk bekend worden, moet rekening gehouden worden met de mogelijkheid dat overheden en het bedrijfsleven massaal overstappen op een andere provider. De business van KPN Mobiel, met uitstraling naar KPN als geheel, komt dan ernstig in gevaar.”

Beveiligingsdeskundigen maken zich zorgen, nationale veiligheid in het geding

Beveiligingsexperts maken zich grote zorgen over de conclusies van het rapport. Volgens Roland Prins van het cybersecuritybedrijf Hunt & Hackett laat het rapport goed zien hoe China ‘het spel speelt’. “Huawei is in staat geweest om live mee te kijken wie Nederland allemaal onder de tap zet en heeft mogelijk van alle klanten kunnen zien wie met wie belt. Dat gaat iedereen aan, zelfs als je geen klant bent bij KPN.”

Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen en lid van de Cyber Security Raad, spreekt van ‘een ernstige aantasting van de nationale veiligheid’. “Het verkrijgen van zo’n positie is een groot spionagesucces voor China. KPN keek hierbij kennelijk vooral naar de eigen commerciële voordelen en legde het Chinese bedrijf nauwelijks beperkingen op.”

Michel van Eeten, hoogleraar cybersecurity aan de TU Delft en lid van de Cyber Security Raad, zegt dat er in 2010 grote economische druk was om het beheer uit te besteden. Toen kwam Huawei om de hoek kijken en was veiligheid ondergeschikt. “Die manier van werken is nu onacceptabel. Een deel van de telecomindustrie geeft het beheer nog steeds uit handen, terwijl inmiddels bekend is welke geopolitieke complicaties daaraan kleven.”

KPN en Huawei ontkennen beschuldigingen

De Volkskrant heeft KPN en Huawei om een reactie gevraagd. KPN zegt dat geen enkele leverancier ‘ongeautoriseerde, ongecontroleerde en ongelimiteerde toegang heeft tot de netwerken en systemen van de provider om zo klanten af te luisteren. “In alle jaren hebben we nooit geconstateerd dat er door Huawei klantgegevens zijn ontvreemd uit onze netwerken of klantsystemen, of dat er is afgeluisterd. Als dat wel zo was geweest, hadden we de bevoegde autoriteiten en onze klanten hierover zeker geïnformeerd en maatregelen genomen richting de leverancier.” Het telecombedrijf zegt voor de vernieuwing van het mobiele kernnetwerk samen te werken met Ericsson.

Huawei neemt afstand van de geschetste situatie. “Huawei-medewerkers hebben geen ongeautoriseerde toegang gehad tot het netwerk en de data van KPN, noch gegevens onttrokken aan dat netwerk. Huawei heeft te allen tijde onder de expliciete autorisatie van KPN gewerkt.”

Verder zegt het Chinese technologiebedrijf nooit door overheidsinstanties te zijn aangesproken op ongeautoriseerd handelen. “Het behoud van vertrouwen is voor ons van ongekend belang, omdat het de basis vormt van ons bestaansrecht. Daarom heeft Huawei wereldwijd cyberveiligheid en privacybescherming tot hoogste prioriteit verklaard.”

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen