Huawei schendt normen voor veilige software

Het Huawei-logo in een winkelcentrum in Peking, China.  Beeld AP
Het Huawei-logo in een winkelcentrum in Peking, China.Beeld AP

De Chinese techgigant Huawei gaat slordig en risicovol te werk bij de ontwikkeling van nieuwe technologie, blijkt uit onderzoek.

Hans Nauta

Moet Europa de technologie van Huawei vrezen uit angst voor de spionerende Chinese staat? Afgaande op het nieuwste jaarverslag van de Britse cybertoezichthouder is Huawei vooral een risico omdat het bedrijf geen kwaliteit levert. Het afgelopen jaar heeft een Brits onderzoekscentrum honderden zwakke plekken gevonden in Huawei-apparatuur en gemeld bij Britse telecom-aanbieders. Hackers zouden er misbruik van kunnen maken.

De wijze waarop het grootste techbedrijf van China software ontwikkelt is zorgwekkend en risicovol, meldt het rapport. Huawei schendt de normen voor goed programmeerwerk die de industrie kent. Het gebruikt bijvoorbeeld regelmatig verouderde software waarvoor allang veiligheidsupdates bestaan. Daarom durft het Nationale Cyber Security Centrum (NCSC) niet te zeggen dat de risico’s van Huawei-producten beheersbaar zijn.

Kwetsbaarheden

NCSC gelooft niet dat de zwaktes het gevolg zijn van bemoeienis van de Chinese staat. De vondsten hebben volgens dit agentschap te maken met onvoldoende technische competentie en een gebrek aan hygiëne op het gebied van cybersecurity. De ontwikkelingsprocessen deugen niet.

Ontwikkelaars van Huawei werken per afdeling anders, ze houden zich niet aan interne regels en gebruiken verschillende versies van softwarecomponenten door elkaar. Hierdoor ontstaan allerlei kwetsbaarheden die misbruikt kunnen worden door kwaadwillenden. Sommige Huawei-programmeurs verbergen ondeugdelijke computercodes zelfs, in plaats van de problemen te verhelpen. Het rapport toont concrete voorbeelden.

Aanvallers kunnen deze zwakke plekken exploiteren en een telefonienetwerk manipuleren en saboteren, meldt de toezichthouder. Ook zouden ze toegang kunnen krijgen tot gebruikersdata. Britse telefoniebedrijven gebruiken veiligheidssystemen die dit risico beperken. Deze systemen blijven de komende jaren van cruciaal belang, volgens de NCSC, omdat Huawei fouten nauwelijks verhelpt. Het bedrijf lijkt niet in staat het eigen product te doorgronden of een systematische probleemanalyse uit te voeren.

Veiligheidsrisico

De testen zijn uitgevoerd door het Huawei Cyber Security Evalutie Centrum in Banbury in Groot-Brittannië. Dat is in 2010 opgericht om toptechnici de risico’s te laten onderzoeken van Huawei’s betrokkenheid bij kritieke infrastructuur. Ze krijgen hiervoor toegang tot de broncodes van Huawei. Het centrum is eigendom van Huawei maar opereert onafhankelijk. Het verschenen rapport komt van de raad die toezicht houdt op dit veiligheidscentrum. Het is bestemd voor de Britse overheid.

Dat een team van 38 medewerkers zoveel ernstige zwakheden blootlegt, noemt de toezichthouder zorgelijk. Volgens het rapport kan niet worden vertrouwd op de integriteit van de producten die Huawei levert.

Een van de genoemde risico’s is dat Huawei een gedateerd en vrijwel afgeschreven besturingssysteem van een derde partij gebruikt. Dit zorgt voor grote cyberrisico’s in het Britse telefonienetwerk. De raad is bezorgd dat Huawei nog altijd geen geloofwaardig plan heeft voorgelegd om tot een oplossing te komen. Ook beschrijft het rapport aanhoudende veiligheidsproblemen met een hardware-onderdeel in het telefonienetwerk dat draadloos communiceert met mobieltjes. De door Huawei voorgestelde oplossingen zijn ‘onacceptabel’.

Goedkoper

Huawei reageert op de kritiek door in vijf jaar twee miljard dollar te steken in betere ontwikkelingsprocessen. De Britse toezichthouder wil daarvoor wel een concreet plan zien.

De Verenigde Staten zetten bondgenoten onder druk om niet in zee te gaan met Huawei voor de aanleg van het 5G-netwerk, de nieuwe en snelle mobiele standaard. Dit vanwege veiligheidsrisico’s. RTL Z meldde op basis van anonieme bronnen dat KPN op het punt staat een 5G-contract te tekenen met Huawei, dat goedkoper kan leveren dan de Europese concurrenten Nokia en Ericsson.

Met Huawei gaat het ondertussen goed. De Chinezen maakten gisteren bekend dat de nettowinst in 2018 25 procent hoger was dan een jaar eerder. Namelijk 7,9 miljard euro.

Lees ook:

Ook Nederland twijfelt: mag het Chinese Huawei hier een 5G-netwerk aanleggen?

Nederland moet dit jaar beslissen of het net als bondgenoten de Chinese telecomgigant Huawei weert bij de aanleg van een 5G-netwerk. Er zijn zorgen dat het bedrijf via de achterdeur kan spioneren.

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2023 DPG Media B.V. - alle rechten voorbehouden