Volkskrant: Huawei had diep toegang tot mobiel netwerk van KPN
De Volkskrant schrijft in een artikel op basis van een vertrouwelijke risicoanalyse van meer dan 11 jaar geleden die zij in handen heeft, uitgevoerd door Capgemini in opdracht van KPN, dat Huawei alle vetrouwelijk gesprekken kon afluisteren, ook van premier Balkenende. KPN en Huawei melden dat er niets is afgeluisterd.
Volgens de Volkskrant konden Huawei medewerkers alle gesprekken op het netwerk van KPN afluisteren zoals van ministers als ook van Chinese dissidenten. Huawei was ook op de hoogte welke nummers werden afgetapt door Nederlandse inlichtingendiensten. KPN heeft verder op basis van het rapport wel het onderhoud van het mobiele kernnetwerk in eigen handen gehouden en niet uitbesteed aan Huawei.
Reactie KPN
KPN meldt dat er niks is afgeluisterd: "De Volkskrant doet harde uitspraken op basis van deze risicoanalyse, die destijds juist bedoeld was om risico’s in kaart te brengen en deze intern te adresseren zodat daarmee de veiligheid en integriteit van KPN's systemen konden worden verbeterd en weloverwogen besluiten konden worden genomen, hetgeen ook is gebeurd. KPN hecht er belang aan het volgende te benadrukken:
- Geen enkele leverancier van KPN heeft 'ongeautoriseerde, ongecontroleerde en ongelimiteerde’ toegang tot de netwerken en systemen, of is in staat om KPN-klanten af te luisteren of aftapinformatie in te zien.
- In alle jaren hebben we nooit geconstateerd dat er door Huawei klantgegevens zijn ontvreemd uit onze netwerken, dan wel onze klantsystemen, of dat er is afgeluisterd. Als dat wel zo was geweest, hadden we de bevoegde autoriteiten en onze klanten hierover zeker geïnformeerd en maatregelen genomen richting de leverancier.
- Mede op basis van de bewuste risicoanalyse van Capgemini heeft KPN destijds besloten een voorgenomen uitbesteding van het volledige onderhoud van zijn mobiele kernnetwerk niet door te zetten. Ten aanzien van de geconstateerde risico’s uit de analyse in de desbetreffende systemen en processen is in 2010 een verbeterplan opgesteld en direct uitgevoerd.
KPN werkt voor zijn netwerken samen met verschillende leveranciers waaronder Ericsson, Huawei en Nokia. Voor al onze leveranciers geldt dat wij ze onderwerpen aan strikte veiligheidsrichtlijnen en ze allemaal moeten voldoen aan de KPN Security Policy.
Bij KPN hebben veiligheid, privacy en security de hoogste prioriteit. Daarom neemt KPN voortdurend maatregelen om de veiligheid verder te verbeteren. Het KPN-beleid is altijd in lijn met de geldende wet- en regelgeving. Aangezien het security werkveld zich continu ontwikkelt, toetst KPN regelmatig zijn processen en systemen op potentiële risico’s en bedreigingen. Dat doet KPN zelf, dat laat KPN door anderen doen en KPN wordt regelmatig geaudit door toezichthouders. De bevindingen en aanbevelingen die daaruit voortvloeien, volgen we op. Dat was in het verleden en is ook vandaag de dag een integraal onderdeel van ons securitybeleid.
We houden hierbij rekening met de veranderende inzichten ten aanzien van de bescherming van vitale infrastructuur; die zijn vandaag anders dan in het verleden. Hierop hebben we de afgelopen jaren ons beveiligingsbeleid voor vaste en mobiele netwerkleveranciers verder aangescherpt, hetgeen een voortdurend proces is. Voor de vernieuwing en vervanging van het mobiele kernnetwerk werken we bovendien samen met een westerse leverancier, namelijk Ericsson.
Capgemini heeft ruim 11 jaar geleden in opdracht van KPN een risicoanalyse uitgevoerd omdat KPN wilde weten of er in bepaalde systemen en processen van het mobiele kernnetwerk van KPN veiligheidsrisico’s aanwezig waren. Het onderhoud van het mobiele kernnetwerk gebeurde destijds door KPN, met ondersteuning van Huawei. Ook wilde KPN weten welke risico’s er bestonden bij eventuele uitbesteding van het volledige onderhoud van het mobiele kernnetwerk (outsourcing).
Mede op basis van deze risicoanalyse is destijds besloten om niet over te gaan tot uitbesteding hiervan. KPN doet - tot op de dag van vandaag - dit onderhoud zelf, met ondersteuning van deskundigen van meerdere partijen. Ten aanzien van de geconstateerde risico’s uit de analyse in de desbetreffende systemen en processen is in 2010 een verbeterplan opgesteld en direct uitgevoerd.
Ons securitybeleid is openbaar, zie: https://ciso-ksp.kpnnet.org/ en voor ons privacy statement zie: https://www.kpn.com/algemeen/missie-en-privacy-statement/privacy-statement.htm"
Reactie Huawei
Huawei meldt: "De Volkskrant heeft Huawei Nederland benaderd met vragen over een intern rapport van KPN dat stamt uit 2010. Dit document is geschreven in opdracht van KPN en nooit met ons gedeeld. Het is voor ons onmogelijk een geïnformeerde, gedetailleerde reactie te geven op vragen over een document van KPN dat ons niet ter beschikking staat.
Wij nemen afstand van de in het artikel geschetste situatie. Huawei-medewerkers hebben geen ongeautoriseerde toegang gehad tot het netwerk en de data van KPN, noch gegevens onttrokken aan dat netwerk. Huawei heeft te allen tijde onder de expliciete autorisatie van KPN gewerkt. Dit was van toepassing op zowel werknemers van Huawei als op de door KPN ingehuurde Huawei-werknemers (‘insourcing’) ter ondersteuning van haar activiteiten. De personen waarnaar dit artikel verwijst, vielen naar ons inzicht in deze laatste categorie. De facto, werkten deze mensen dus voor KPN, wat de constateringen vanuit het rapport in een ander daglicht plaatst.
Vanuit de overheid is er strikte wetgeving wat betreft toegang tot data in telecommunicatienetwerken. Ook vanuit de netwerkbeheerders is er voortdurend toezicht op onze activiteiten. Sinds onze start in Nederland 15 jaar geleden, zijn wij door de overheidsinstanties nooit aangesproken op ongeautoriseerd handelen. Dit terwijl het rapport kennelijk al meer dan tien jaar in het bezit is van de inlichtingendiensten zoals in dit artikel wordt onderschreven. Het behoud van vertrouwen is voor ons van ongekend belang, omdat het de basis vormt van ons bestaansrecht. Daarom heeft Huawei wereldwijd cyberveiligheid en privacybescherming tot hoogste prioriteit verklaard.
Huawei is technisch de meest open, gecontroleerde en transparante telecomleverancier ter wereld. Wij dragen actief bij aan discussies over standaarden op gebied van cyberveiligheid en streven daarmee een gelijkwaardig, hoogwaardig en veilig speelveld na voor de gehele industrie. Wij werken iedere dag om de veiligheid van onze producten en diensten verder te verbeteren, in samenwerking met onze klanten, partners en andere relevante partijen."