De Europese Unie geeft telecombedrijven drie jaar de tijd om apparatuur van zogenoemde ‘hoogrisicoleveranciers’ te verwijderen, maar daarmee is het fundamentele veiligheidsprobleem nog niet opgelost, zo waarschuwt beveiligingsonderzoeker Aras Nazarovas van Cybernews. Volgens hem wordt vooral van leverancier gewisseld, terwijl de achterdeuren in netwerken rustig blijven bestaan, zo schrijft hij in een uitgebreide analyse.
Nazarovas, senior security researcher en ethisch hacker, stelt dat kritieke infrastructuur in Europa is gebouwd op systemen die niemand echt onafhankelijk kan controleren. Routers en netwerkapparatuur zitten vol softwarelagen die diep verborgen zijn en zelden worden bijgewerkt. Fouten daarin zijn vaak niet eens kwaadaardig bedoeld, maar ontstaan door slordige programmeerkeuzes, vergeten testcode of verouderde softwarebibliotheken. Of zo’n kwetsbaarheid expres is ingebouwd of per ongeluk is ontstaan, maakt volgens hem weinig verschil: voor aanvallers is het simpelweg een ingang. Standaard beveiligingssoftware ziet dit soort problemen meestal niet, omdat die alleen de ‘bovenkant’ van het systeem controleert. Nazarovas vergelijkt dat met “naar de ramen van een gebouw kijken, terwijl het probleem zich in de fundering bevindt”.
‘Salt Typhoon’
Dat dit geen theoretisch risico is, blijkt uit recente onderzoeken naar de zogenoemde Salt Typhoon-campagnes, waarbij hackers met banden met China toegang kregen tot Amerikaanse en bondgenootschappelijke telecomnetwerken. Daarbij werden zelfs wettelijk bedoelde aftapfuncties misbruikt. En juist dat maakt de Europese plannen zo gevoelig. De nieuwe regels gelden namelijk niet alleen voor 5G-netwerken, maar ook voor systemen rond grensbewaking, waterzuivering, elektriciteitsnetten en medische apparatuur. Een digitale aanval kan hier letterlijk levens raken, bijvoorbeeld door ziekenhuizen plat te leggen of water te vervuilen.
Het simpelweg weren van Chinese leveranciers biedt volgens Nazarovas geen garantie dat Europese of Amerikaanse alternatieven transparanter zijn. Zonder verplichte onafhankelijke audits, open inzage in broncode en regelmatige externe tests blijven ook westerse apparaten zwarte dozen. De EU zou deze maatregel daarom kunnen aangrijpen om strengere, verifieerbare veiligheidsregels op te leggen aan álle leveranciers, ongeacht hun paspoort.
De echte vraag is volgens Nazarovas dan ook niet uit welk land de apparatuur komt, maar of iemand daadwerkelijk kan controleren wat erin zit. Anders ruilt Europa vooral van doos, terwijl de inhoud onbekend blijft. Dat klinkt misschien minder geruststellend, maar wel eerlijk.
