Nederlandse regering kan providers verplichten netwerkapparatuur te vervangen

De Nederlandse regering heeft een Algemene Maatregel van Bestuur gepubliceerd waarmee zij providers kan verplichten bepaalde netwerkapparatuur uit hun netwerk te halen. Dat meldde Tweakers vorige week. De AMvB bevat de bevoegdheid om een bedrijf aan te merken als ‘verdacht’ (zeg maar even) en dus niet gewenst om aan Nederlandse providers apparatuur of dienstverlening te leveren. Dit is volgens mij de eerste keer in telecomland dat er zó specifiek een bevoegdheid wordt gecreëerd om een partij te kunnen weren van de Nederlandse ict-infrastructuurmarkt. Wel moet het dan gaan om “de onderdelen [van de ict] waarvoor geldt dat de leverancier uitgebreide toegang tot gevoelige locaties, gevoelige ict-systemen, vitale infrastructurele installaties of werken krijgt, waarbij misbruik een nationaal veiligheidsrisico kan vormen.”

Al lange tijd gaat het bericht dat het Chinese bedrijf Huawei zou spioneren voor de Chinese overheid. Echt hard bewijs komt daar (natuurlijk) nooit van boven tafel, maar echt uitsluiten kan ook niet. In mei kwam aan het licht dat de AIVD onderzocht welke mate van toegang Huawei had tot gegevens op Nederlandse netwerken, en of dat een bug dan wel een backdoor was. Desondanks blijven de zorgen bestaan, en die worden actueel nu providers bezig gaan met 5G netwerken opzetten.

Begin juli kwamen ministers Grapperhaus Keijzer (Veiligheid/EZ) met een Kamerbrief waarin deze AMvB al werd aangekondigd, als onderdeel van een pakket maatregelen om de veiligheidsrisico’s rond de 5G-netwerken te beperken. Dat was dan weer een reactie op Kamerzorgen over Huawei en haar rol in de 5G-dienstverlening in Nederland. Het is dan ook niet gek dat hoewel deze AMvB keurig neutraal is geformuleerd, iedereen weet dat hij maar één keer ingeroepen gaat worden en tegen welk bedrijf ook nog:

a. [een partij uit] een staat, entiteit of persoon is waarvan bekend is of waarvoor gronden zijn te vermoeden dat deze de intentie heeft een in Nederland aangeboden elektronisch communicatienetwerk of -dienst te misbruiken of uit te laten vallen, of
b.nauwe banden heeft met of onder invloed staat van een staat, entiteit of persoon als bedoeld onder a, of een entiteit of persoon is ten aanzien van wie er gronden zijn om dergelijke banden of invloed te vermoeden.

Bij misbruik valt te denken aan spionage: ongeoorloofde toegang tot communicatiegegevens (zowel verkeersgegevens als inhoud van communicatie). En de toelichting maakt duidelijk dat het moet gaan om een land met een offensief cyberprogramma gericht tegen Nederlandse belangen. En een vermoeden van die banden is bovendien genoeg, omdat het gaat om kritieke onderdelen van belangrijke netwerken.

De stap is opmerkelijk, zo expliciet aansturen op wetgeving om een bedrijf uit te sluiten heb ik nog niet eerder gezien. Maar er is geen ontkomen aan. In een aanbesteding kan een telecomprovider moeilijk zeggen “we willen geen offerte van Huawei”, en zonder wetgeving kan de overheid een partij ook niet dwingen om dat bedrijf te vermijden.

Wel interessant wordt straks het aanwijzingsbesluit. Reken maar dat Huawei meteen naar de rechter stapt om dat aan te vechten; er is immers geen bewijs. En dan wordt de leuke juridische vraag of de overheid het mag houden op “de AIVD heeft staatsgeheime vermoedens”. Ik ben echt serieus benieuwd wat de rechter daarvan gaat zeggen.

Arnoud

9 reacties

  1. De hetze tegen Huawei vind ik toch ook wel wat storend. Er is 1 land die deze aanwakkert, en dat is de VS. Die lijken dat niet uitsluitend uit veiligheidsoverwegingen te doen, maar ook uit commcericeel gewin.

    Voor zover ik weet zijn er (nog) geen backdoors in Huewei hardwar gevonden, terwijl er toch al echt de nodige gevonden zijn in Cisco apparatuur, vermoedelijk daar geplaatst door de CIA. ( https://www.tomshardware.com/news/cisco-backdoor-hardcoded-accounts-software,37480.html )

    Wat dat betreft zou ik ’t wel tof vinden als deze maatregel wanneer deze op Huawei toegepast wordt, net zo goed op Cisco toegepast wordt.

    Wat deze specifieke AMvB betreft, zou je als telco de schade kunnen verhalen op de overheid, als de alternatieve duurder zijn, of wanneer je de Huewei-apparatuur al aangeschaft hebt?

    1. De USA heeft geen op Nederland gerichte offensief cyberprogramma, dus daarmee zou Cisco nog wel gebruikt mogen worden, maar je hebt hier absoluut een punt. Eigenlijk zou het dan dus neerkomen op Nokia en Eriksson als het gaat om hardware voor kritieke communicatie netwerken. is wel een stukje duurder dan Huawei….

      1. Zijn Nokia en Eriksson een stukje duurder dan Huawei, of is het andersom? De (lage) prijs kan natuurlijk ook een middel zijn om het beoogde doel te bereiken, dit zie je veel vaker in de ICT, zeker als het gaat om aanbestedingen, tenders worden laag ingezet, soms onder de kostprijs om toch maar de opdracht binnen te halen, vaak omdat er ‘bijkomende redenen’ zijn (waarom zou je anders verliesgevend gaan verkopen?)

      2. Als je denkt dat de Amerikanen niet bij al hun ‘bondgenoten’ spioneren en deze informatie voor economisch gewin gebruiken dan ben je behoorlijk naief. En actief je eigen industrie een economisch voordeel willen geven middels spionage noem ik toch echt een offensief cyberprogramma.

  2. “En Trump zag dat het goed was.”

    Absoluut geen enkel bewijs, anders dan een blaffende Trump die “create more jobs for Americans” wil. (Lees: meer geldstromen naar Amerikaanse miljardairs, die dan weer de cheap labor in China laten doen.)

    Zo mogen wij Nederlanders te veel gaan betalen voor een Amerikaans 5G Alternatief dat eigenlijk gewoon 4G is, gewoon omdat zij dat willen.

    Weet je van wie wel keer op keer is bewezen dat ze ons bespioneren? Je verwacht het niet: de Amerikanen. Of het met Prism was, waarbij de Amerikanen het bedrijf Verizon verzocht om dagelijks alle gesprekken door te geven. Of met Echelon, waarbij we bespied werden voor commerciële doeleinden. Vele miljardendeals zijn hiermee van route veranderd richting de USA. Van Edward Snowden, die over beide spionageschandalen (en veel meer) heeft bericht, weten we wel hoe het gaat… Ergens asiel in Moskou.

    Wat is dit nou van onze overheid? Wordt de regering gechanteerd met een en ander? Of is het gewoon Stockholm-syndroom?

    1. Er zijn zat bewijzen van spionage van russische, chinese en ook nog wel koreaanse en indiase hackers bij overheden en bedrijven in Europa en de VS. Wat lastig is is om degelijke hackpogingen te koppelen aan de overheid. Aan de andere kant is het haast ondenkbaar dat er in China hackgroepen actief zijn die andere overheden hacken zonder dat de Chinese overheid daarbij betrokken is.

  3. Er zijn diverse zelfs Nederlandse oplossingen voor die software en apparatuur. neem https://opnsense.org/ Nederlandse ontwikkelaars en programmeurs Het is ook nog eens opensource dus alles te controleren. Wat een kans.

    Opnsense is een doorontwikkeling van pfsense / monowal producten die zich al jaren bewezen hebben ook in grote bedrijfs-omgevingen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.