Operatorzy telekomunikacyjni są darzeni zaufaniem co do poszanowania naszej prywatności. Wynika to chociażby z tego, że są oni prawnie zobowiązani do ochrony naszych danych oraz dbania o bezpieczeństwo sieci, z której korzystają nie tylko obywatele, ale również rządzący. Okazuje się, że holenderski operator KPN był dekadę temu niechlubnym wyjątkiem od tej reguły. Pozwolił on Huawei na zarządzanie całą swoją siecią. Hipotetycznie chińska firma mogła podsłuchać nawet premiera Holandii i jego ministrów. Wszystko opierało się na zaufaniu.
Jeżeli chodzi o cyberbezpieczeństwo, to na poleganie na zaufaniu mogą sobie pozwolić jedynie niezorientowani na ten temat użytkownicy. Chociaż ostatnio i to się zmienia. Przysłowiowy przeciętny Kowalski coraz częściej zastanawia się, czy na danej witrynie powinien podawać wszystkie informacje, czy też nie. Niektórzy wychodzą z założenia, że ich dane i tak są “bezwartościowe” czy też mogą posłużyć jedynie w celach marketingowych. Ale i tutaj staliśmy się ostatnio bardziej wrażliwi. W końcu wyciek zwykłych adresów e-mail czy też numerów telefonów może być dla każdego z nas uciążliwy. Chyba że ktoś lubi odbierać telefony z okazją na zakup wyjątkowych garnków czy też wzięcia udziału w niezwykle efektywnych zabiegach leczniczych.
Jednak, jeśli sprawa dotyczy firmy, która jest oskarżana o współpracę z wywiadem, a do tego pojawi się wątek możliwości podsłuchu 1/3 kraju (w tym premiera i jego ministrów), to żarty się kończą. Zwłaszcza że Huawei od ponad roku na każdym kroku podkreśla poważne i przejrzyste podejście do kwestii związanych z cyberbezpieczeństwem.
“Podsłuchy w Holandii”, czyli historia o braku wyobraźni operatora i nadinterpretacji mediów
Na początek kilka faktów. Dziennik De Volkskrant dotarł do raportu firmy Capgemini, która w 2010 roku przeprowadziła audyt bezpieczeństwa u holenderskiego operatora KPN. Były to czasy, kiedy na całym świecie funkcjonowały dobrze rozwinięte sieci 3G, a niektórzy operatorzy powoli wdrażali usługi 4G LTE. Specjaliści dostrzegli, że holenderski telekom popełnił poważne błędy przy outsourcingu zarządzania siecią rdzeniową 3G. KPN zlecił to dostawcy urządzeń, którym był Huawei. Cały problem polega na tym, że pracownicy chińskiej firmy mieli (za przyzwoleniem operatora) nieograniczony dostęp do wszystkich najważniejszych elementów sieci komórkowej. Wykonywane operacje nie były monitorowane. Nie wspominając już o nadzorze ze strony operatora. Czysto teoretycznie pracownicy Huawei mogli podsłuchać rozmowy każdego abonenta KPN.
Holenderski dziennik uważa, że wśród tych osób był również premier oraz część z podlegających mu ministrów. Raport miał być na tyle alarmujący, że operator postanowił go utajnić. Znajdujące się w nim ustalenia mogły przerwać działalność telekomu i doprowadzić do unieważnienia posiadanych zezwoleń. Nie wspominając już o utracie zaufania klientów i rządu.
Huawei odniósł się do zarzutów gazety. Firma stwierdziła, że premier nie mógł być podsłuchany, ponieważ było to technicznie niemożliwe. Huawei podkreślił również, że sześciu pracowników, którzy pracowali w siedzibie operatora, podlegali bezpośrednio KPN, a nie Huawei Netherlands. Cała linia obrony opiera się na informacjach, które zawarto w artykule dziennika De Volkskrant. Raport Capgemini nigdy nie trafił do Huawei. Firma uważa, że przyjęte przez dziennikarzy fakty i przypuszczenia są po prostu błędne.
Historia ta obiegła już cały świat. Po drodze została również zniekształcona. Oryginalna publikacja w De Volkskrant zawiera jedynie przypuszczenia o podsłuchiwaniu klientów holenderskiego operatora. Dziennikarze nawet nie oskarżają pracowników Huawei o szpiegowanie. Stwierdzają jedynie, że mieli taką możliwość, a operator nie miał niewielkie szanse na wykrycie takiego zdarzenia.
Huawei miał mieć również dostęp do danych klientów spółki podległej KPN
W marcu tego roku dziennik De Volkskrant opublikował inną historię, która sugerowała dostęp Huawei do danych mieszkańców Holandii. Dotyczyło to systemu obsługi klienta i rozliczeń w sieci firmy telekomunikacyjnej Telfort, która już nie istnieje, ale była spółką podległą KPN. Huawei miał mieć dostęp do 26 kont, które dawały dostęp bez śledzenia. Według audytu, który zlecił KPN, chińska firma mogła w ten sposób przeglądać, modyfikować czy usuwać dane klientów. Tan raport również był poufny i nie został przekazany chińskiemu gigantowi.
Huawei odniósł się do oskarżeń dziennikarzy i oświadczył, że dostęp do danych klientów może uzyskać jedynie po otrzymaniu upoważnienia ze strony operatora. Chodzi tutaj o sytuację, w której dostawca zarządza w imieniu operatora wdrożonym przez siebie systemem teleinformatycznym.
Przeczytaj również: Holenderska prasa twierdzi, że Huawei ukrył backdoor’a w sieci jednego operatora
Według ustaleń dziennikarzy operator KPN po przeprowadzonych audytach (odbywały się one w latach 2010 – 2011) zrezygnował z outsourcingu zarządzania systemami i do dziś zajmuje się utrzymaniem sieci samodzielnie. Przy czym wspiera się tutaj usługami zachodnich dostawców. Jednak takie wsparcie ogranicza się już pewnie do szkolenia własnego personelu czy też w pełni nadzorowanej pomocy technicznej. Po tak rażących zaniedbaniach powinna powstać również precyzyjna polityka bezpieczeństwa, która jasno definiuje uprawnienia i zakres działania pracowników partnerów operatora.
[AKTUALIZACJA] Oświadczenie polskiego oddziału Huawei
Dzisiaj otrzymaliśmy polskojęzyczne oświadczenie firmy Huawei, które odnosi się do zarzutów dziennikarzy De Volkskrant. Firma stanowczo zaprzecza temu, że jej pracownicy mieli nieograniczony i nienadzorowany dostęp do elementów infrastruktury operatora.
Bezpieczeństwo każdej sieci telekomunikacyjnej wymaga efektywnej współpracy operatorów, dostawców rozwiązań i regulatorów rynku. Niezbędne jest również przewidywanie i odpowiadanie na zagrożenia pojawiające się w każdym z elementów sieci, niezależnie czy mówimy o 3G, 4G czy sieciach nowej generacji 5G. W Huawei doskonale to rozumiemy, dlatego nie możemy pozostawać obojętni wobec bezpodstawnych oskarżeń, jakie w ostatnich dniach kierowano pod naszym adresem za pośrednictwem europejskich mediów.
Kilku pracowników Huawei, którzy zgodnie z relacją gazety De Volkskrant wykonywali pracę dla KPN, pozostawało pod wyłącznym i bezpośrednim nadzorem przełożonych z tej właśnie firmy, a nie holenderskiego biura Huawei. Pracownicy Huawei nigdy nie mieli nieautoryzowanego dostępu do sieci i danych KPN, ani nie wyprowadzili żadnych informacji.
Zgodnie z oświadczeniem wydanym w tej sprawie przez KPN (dostępnym tutaj: https://www.overons.kpn/nl/nieuws/2021/reactie-kpn-op-berichtgeving-in-volkskrant), nadzór nad nimi sprawowany był właściwie i żaden dostawca nie posiadał nieautoryzowanego, niekontrolowanego, nieograniczonego dostępu do sieci oraz systemów i nie był w stanie podsłuchiwać klientów KPN.
Dlatego informacje o rzekomych nielegalnych praktykach, które pojawiły się również w polskich mediach, są niczym innym jak błędną interpretacją faktów oraz informacji przekazanych przez holenderską prasę. Szkodzą one reputacji Huawei w Polsce – niezależnie od tego, kto mógłby z tego faktu czerpać korzyści.
Huawei jest najbardziej otwartym, zweryfikowanym i transparentnym dostawcą usług telekomunikacyjnych na świecie. Aktywnie uczestniczymy w dyskusjach na temat standardów cyberbezpieczeństwa i konsekwentnie dążymy do zapewnienia najlepszych warunków konkurencji dla całej branży. Każdego dnia pracujemy nad dalszą poprawą bezpieczeństwa naszych produktów i usług, we współpracy z naszymi klientami i partnerami.