Huawei had onbeperkt toegang tot gegevens miljoenen Telfort-klanten

KPN deed in 2011 onderzoek bij Telfort naar een nieuwe klant- en facturatieomgeving die door Huawei werd beheerd. Die audit leverde talloze verontrustende signalen op, waaronder de constatering dat Huawei geregeld bestanden uit de klanten­omgeving van Telfort haalde. Er was geen zogeheten logging ingesteld, waardoor niet werd bijgehouden wat er precies werd gekopieerd.

KPN heeft geen nader onderzoek gedaan of en hoeveel klantgegevens daadwerkelijk zijn ontvreemd, zeggen bronnen. Er is evenmin melding gedaan bij de Autoriteit Persoonsgegevens (AP), wat destijds geen verplichting was, en klanten zijn niet geïnformeerd.

KPN stelt dat er ‘geen enkele aanleiding’ was ‘te veronderstellen dat er gegevens van Telfort-klanten waren ontvreemd, door wie dan ook’. Verschillende bronnen zeggen echter dat dit zonder nader onderzoek of het bekijken van logbestanden niet is vast te stellen. Een ingewijde: ‘We wisten dat het foute boel was. Huawei kon bij klantgegevens en als ze wilden hadden ze alles kunnen doorsluizen naar China. Er is alleen nooit onderzoek gedaan naar wat ze precies hebben gekopieerd.’ KPN wil niet ingaan op vervolgvragen daarover. ‘KPN bespreekt bedrijfsvertrouwelijke rapporten in de regel niet met derden.’

Wilt u dit artikel liever beluisteren? Hieronder staat de door Blendle voorgelezen versie

AIVD waarschuwde KPN

De constateringen in het rapport zijn relevant omdat de inlichtingendienst AIVD in de jaren daarna KPN meerdere keren waarschuwde voor Chinese spionage. KPN was daarbij zowel doelwit als slachtoffer. Chinese hackers probeerden binnen te komen bij de Nederlandse telecomprovider, vertelde de AIVD. Zeker tweemaal waarschuwde de geheime dienst dat klantgegevens in handen van een Chinese spionagegroep overeenkwamen met die van KPN. De AIVD was dit op spoor gekomen door offensieve operaties, oftewel het hacken van een Chinese hackgroep.

Na de eerste waarschuwing checkte KPN de eigen systemen maar vond niets verdachts, vertellen bronnen. De tweede keer, in het voorjaar van 2019, werd wél iets verdachts gevonden: in Hilversum troffen AIVD’ers en specialisten van KPN een verborgen toegangspad naar klantgegevens. Alleen Huawei kon bij die data.

De AIVD en andere westerse geheime diensten waarschuwen al jaren voor omvangrijke Chinese spionage. Telecombedrijven kunnen door de grote hoeveelheid data die zij hebben over bedrijven en particulieren een aantrekkelijk doelwit zijn.

Huawei had vrij spel

KPN nam in 2005 telefoonprovider Telfort over dat toen ruim twee miljoen abonnees had. In 2010 stapte Telfort over naar een nieuwe klant- en facturatieomgeving die werd gebouwd door Huawei. Het Amerikaanse technologiebedrijf HP was daarbij betrokken als service integrator – het zag toe op het proces. KPN controleerde dat weer.

Uit die controle bleek dat er van alles mis was. Zo hadden 26 accounts van Huawei toegang tot de klantomgeving zonder dat werd bijgehouden wie wanneer inlogde. Ook had Huawei toegang tot een database waardoor het klantgegevens kon inzien, wijzigen of verwijderen. Hier was logging noch monitoring aanwezig. Tevens had Huawei een script geïnstalleerd om bestanden te verplaatsen in de zogeheten productie-omgeving. Ook hier was wederom geen controle op wat Huawei precies aan het raadplegen was. Wel bleek dat de service ‘regelmatig’ werd gebruikt. Huawei werd meermaals door HP gevraagd de toegang te wijzigen of af te sluiten maar gaf niet thuis. Al deze bevindingen zorgden voor ‘onveiligheid, instabiliteit en/of het risico op datalekken’, stelden de onderzoekers van KPN.

Elementaire fouten

‘Dit document is al wat ouder maar geeft een belangrijk inzicht in de werkwijze van Huawei’, zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen. Hij wijst erop dat Telfort in 2004 het eerste Europese telecombedrijf was dat met die Chinese bedrijf in zee ging. ‘Daarbij ontwikkelde Huawei onder andere een deel van het klantsysteem voor Telfort. Ze deden dat zodanig dat ze overal bij konden.’

Jacobs, tevens lid van de Cyber Security Raad, vindt dat het rapport ‘heel kritisch is’ over het ontbreken van elementaire beveiligingsmaatregelen en afscheidingen in de gebruikte software. ‘Dit interne rapport zegt niet dat alle klantgegevens van Telfort naar China gekopieerd zijn, maar wel dat Huawei zichzelf de positie had gegeven om dat te kunnen doen. Dat is kennelijk hoe ze hun software leveren. En dat is waar we nu nog steeds een belangrijke les aan hebben: Huawei blijkt zelf diep in de geleverde systemen aanwezig.’

Michel van Eeten, hoogleraar cybersecurity aan de TU Delft en ook lid van de Cyber Security Raad, wijst erop dat er in tien jaar tijd een ‘wezenlijke’ verandering heeft plaatsgevonden. ‘We kijken nu anders naar Huawei dan tien jaar geleden. De risico’s die tien jaar geleden acceptabel waren, zijn dat nu niet meer.’ Een verklaring voor de gebrekkige beveiliging ziet hij in de verschillende rollen die KPN en HP hadden. ‘KPN heeft een veiligheidsbelang en HP moet zo snel en goedkoop ­mogelijk leveren. Die gaan bochten afsnijden want zij blijven niet met de brokken zitten.’ Hij noemt het ‘vrij schokkend’ dat logging en monitoring uitstonden. ‘Alle basismaatregelen waren onvoldoende. Een techneut die hier naar kijkt zou geschokt zijn en boos worden. Er was een totaal gebrek aan veiligheidsbewustzijn bij HP.’

In 2019 besloot het Nederlandse kabinet uit angst voor spionage om Huawei uit de gevoeligste delen van de nieuwe 5G-netwerken te houden. Wel mag Huawei onderdelen blijven leveren voor het radio- en antennenetwerk. KPN en T-Mobile gebruiken Huawei-antennes bij de vernieuwing van het antennenetwerk. Ook België heeft plannen om Huawei te weren. Groot-Brittannië heeft het Chinese bedrijf al officieel verbannen.

Heeft u meer informatie over Chinese spionage, mail naar onderzoek@volkskrant.nl of kijk op Volkskrant.nl/tip voor manieren om veilig en anoniem te communiceren.