Huawei wast zijn handen in onschuld. Het Chinese technologiebedrijf zegt dat KPN toestemming had verleend om klantgegevens van Telfort-abonnees te kunnen raadplegen. Sterker nog, het is in de techindustrie de normaalste zaak van de wereld dat het bedrijf dat klantsystemen onderhoud dergelijke toegang heeft. Maar alleen na autorisatie.
Dat schrijft Huawei in een reactie op het bericht in de Volkskrant.
Huawei heeft ‘verborgen toegangspad’ tot klantgegevens Telfort-klanten
Maandag publiceerde het dagblad een spraakmakend artikel. Daarin werd gesuggereerd dat Huawei jarenlang stiekem toegang had tot een database met klant- en facturatiegegevens van Telfort-klanten. Het techbedrijf uit China kon zo onbeperkt en ongemerkt klantgegevens inzien, wijzigen of verwijderen. Er was bovendien geen logging en monitoring ingesteld. Huawei kon hierdoor de database raadplegen zonder dat iemand dat in de gaten had.
De Volkskrant baseerde zijn artikel op een vertrouwelijk rapport uit 2011 dat in handen is van KPN. Daarin staat verder dat Huawei een script had geïnstalleerd om bestanden te kunnen verplaatsen naar een productie-omgeving. Deze service werd volgens de opstellers van het rapport ‘regelmatig’ gebruikt. HP, een Amerikaans technologiebedrijf dat toezag op de implementatie van de nieuwe klant- en facturatieomgeving van Telfort, zou meerdere keren gevraagd hebben om de toegang tot klantgegevens te wijzigen of te sluiten. Huawei gaf daar naar verluidt geen gehoor aan. De onderzoekers van KPN schreven dat deze situatie zorgde voor “onveiligheid, instabiliteit en/of het risico op datalekken”.
Volgens de Volkskrant waarschuwde de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) KPN de afgelopen jaren meerdere malen voor spionage vanuit China. Aanvankelijk trof de provider niets verdachts aan. In 2019 ontdekte het telecombedrijf het verborgen toegangspad naar klantgegevens van Telfort. Een ingewijde vertelde tegenover de krant dat het ‘foute boel’ was. “Huawei kon bij klantgegevens en als ze wilden hadden ze alles kunnen doorsluizen naar China. Er is alleen nooit onderzoek gedaan naar wat ze precies hebben gekopieerd.”
Huawei: ‘KPN gaf autorisatie voor toegang tot klant- en facturatieomgeving’
Het is een ernstige beschuldiging aan het adres van Huawei. Het technologiebedrijf reageert meestal niet op geruchten die over het bedrijf de ronde gaan op internet. De aantijgingen van de Volkskrant zijn het bedrijf echter in het verkeerde keelgat geschoten. Via een persverklaring laat Huawei weten dat het ‘met grote zorg’ kennis heeft genomen van het artikel in de Volkskrant. Dat het bedrijf zonder instemming van KPN toegang had tot het klant- en facturatiesysteem van dochterbedrijf Telfort, klopt niet.
“In de industrie is het gebruikelijk dat wanneer ICT-bedrijven een dergelijk systeem beheren namens de telecomaanbieders, toegang tot klantdata alleen kan worden verkregen na autorisatie van de telecomaanbieder”, schrijft Huawei. “Zo moeten er bijvoorbeeld back-ups van bestanden gemaakt worden om onderhoud te kunnen plegen en het systeem tegelijkertijd in de lucht te houden. Zonder autorisatie verwerkt of deelt Huawei Nederland geen gegevens.”
Huawei: ‘Wij passen de hoogste veiligheidsstandaarden toe’
Huawei claimt dus dat het business as usual was en dat KPN wel degelijk op de hoogte was de praktijken. Het Chinese techbedrijf wijst er in het persbericht op dat de verwerking van persoonsgegevens en andere relevante data is vastgelegd in een dataverwerkingsovereenkomst. Met andere woorden, het is de verantwoordelijkheid en verplichting van KPN om toe te zien dat Huawei zich aan deze afspraken houdt.
“Wij passen altijd de hoogste veiligheidsstandaarden toe en verbeteren continu onze operationele veiligheidsnormen”, zegt Huawei over zijn werkzaamheden bij Telfort. “Hierbij is veel aandacht voor beveiliging van netwerk- en persoonsgegevens, zoals netwerksegmentatie, gemonitorde toegangscontrole, data-encryptie, inspectie van producten en diensten.”
