Nederlandse partners van Huawei zijn op hun hoede

Beeld Maus

Binnenkort neemt het kabinet een besluit over Huawei en 5G. Hoe gaan de gemeente Haarlemmermeer, kennisinstituut Deltares en het ziekenhuis in Groningen om met hun Chinese partner, die wordt beschuldigd van spionage?

Een taskforce heeft onderzocht hoe de maatschappij en de economie moeten worden beschermd tegen dreigingen zoals spionage. Aanleiding is de vraag of Huawei betrokken mag zijn bij de aanleg van het snelle mobiele 5G-netwerk. Binnenkort neemt het kabinet er een besluit over. Maar het Chinese tech-concern is ook op andere terreinen actief. 

Over z’n prestaties in Haarlemmermeer is Huawei helder. Het concern schrijft dat de gemeente in de negentiende eeuw werd gewonnen op het water en in 2015 is ‘gered’ door Huawei. De gemeente, die luchthaven Schiphol huisvest, kampte met verouderde computersystemen. Huawei schoot te hulp en legde een nieuw intern ICT-netwerk aan.

De gemeente koos na een aanbesteding voor Huawei’s Campus Netwerk Oplossing voor Overheden. Kosten: 1 miljoen euro. Hierdoor nam de netwerkcapaciteit enorm toe en konden ambtenaren verspreid over meerdere gemeentekantoren draadloos werken.

Wereldwijd gebruikten zo’n tien andere overheden dit campusnetwerk van Huawei. Zoals het stadsbestuur van Peking, het presidentiële paleis in Brazilië, de federale migratiedienst van Rusland, de kamer van koophandel in Abu Dhabi en het Mexicaanse ministerie van communicatie en transport.

Scenario

En sinds 2015 dus ook Haarlemmermeer. De gemeente behoort tot de veiligheidsregio Kennemerland en daarin is de aandacht voor cyberrisico’s gegroeid. In april is de nieuwste risico-analyse voor de regio vastgesteld en daarin staat een scenario dat zich ook kan voordoen bij de lokale overheid.

Het gaat als volgt. Op een doordeweekse dag merken medewerkers van een organisatie dat de computers traag werken. “Het systeem geeft meerdere foutmeldingen. IT-specialisten geven aan dat zij geen onregelmatigheden kunnen vinden en kunnen de meldingen van de medewerkers niet verklaren. Het probleem wordt steeds groter. Er komen steeds meer foutmeldingen. Monitoringssystemen geven onwaarschijnlijke waarden, bestanden worden niet meer gevonden. Is het eigen systeem nog betrouwbaar? Deze situatie duurt twee dagen.”

Het openbaar bestuur wordt geraakt, een probleem dat groeit als er tegelijkertijd andere veiligheidsincidenten zijn in dezelfde regio. Zoals bij luchthaven Schiphol of op industrieel complex Tata Steel. China en Rusland worden in de analyse genoemd als mogelijke aanstichters van cyberproblemen.

Hoe voorkomt de gemeente Haarlemmermeer dit scenario? En hoe voorkomt ze dat er geen economische spionage plaatsvindt via het eigen netwerk, bijvoorbeeld als binnen de gemeente informatie over Schiphol wordt gedeeld? Verreweg de grootste dreiging op dit gebied is afkomstig van China, meldt inlichtingendienst AIVD. Huawei wordt ervan beschuldigd samen te werken met de Chinese staat.

“Een cyberaanval voorkomen is een utopie”, laat een woordvoerster van de gemeente weten. “Uiteraard doen we er alles aan om die tegen te houden. In de afgelopen jaren hebben wij geïnvesteerd in menskracht en techniek om beter voorbereid te zijn op mogelijke cyberaanvallen. Recentelijk zijn er geen verstoringen door cyberaanvallen geweest.”

Haarlemmermeer koos voor Huawei toen de ICT-nood hoog was. De informatiebeveiliging in de gemeente was dramatisch, bleek uit een rapport van de eigen rekenkamercommissie waarover de gemeenteraad op 17 maart 2016 vergaderde.

De gemeente was “kwetsbaar voor externe en interne bedreigingen. Gevoelige en vertrouwelijke informatie kan op relatief eenvoudige wijze in verkeerde handen vallen”, stond in het rapport. Het was binnen de gemeente-ICT bijvoorbeeld mogelijk om zonder accountgegevens privileges te krijgen tot op beheerdersniveau. Er bestond geen analyse van de ICT-risico’s en daardoor was er ook geen preventie tegen cybergevaren.

Veilige keuze

Twee dagen eerder, op 15 maart 2016, hadden Huawei en Haarlemmermeer de samenwerking gevierd op een beurs in Hannover. Topmanager Dong Wu van Huawei gaf een speciale trofee aan de toenmalige chief information officer van de gemeente Haarlemmermeer. In een video op de Huawei-website vertelt deze Ed de Myttenaere dat Huawei een professionele en veilige keuze is.

Maar sindsdien is het besef gegroeid dat de afhankelijkheid van buitenlandse technologie Nederland kwetsbaar maakt. De AIVD waarschuwt dat andere staten de Nederlandse infrastructuur kunnen ontregelen. China, Iran en Rusland hebben offensieve cyberprogramma’s gericht tegen Nederland, vanuit economische of politieke motieven. Is de Huawei-campus geen paard van Troje?

De woordvoerster van de gemeente wijst erop dat de firewalls voor verbindingen naar buiten van een Amerikaans merk zijn. Een firewall beschermt een computer tegen virussen of hack-aanvallen met grof geweld. “Een Nederlands bedrijf verricht onderhoud aan het netwerk. Voor externe netwerkverbindingen werken we samen met KPN, net als voor noodstroomvoorzieningen. Haarlemmermeer werkt met twee datacenters, juist om snel te kunnen schakelen als er één uitvalt.”

Voor Huawei was de samenwerking met Haarlemmermeer leerzaam. Het was de eerste grootschalige toepassing van het campusnetwerk bij een Europese overheid. De Chinezen noemden het een demonstratieproject. “Dankzij deze samenwerking heeft Huawei een dieper begrip gekregen van de dienstverlening in de overheidssector”, zei topmanager Dong Wu.

Op welke manier kan Huawei inzicht hebben gekregen in de dienstverlening van de gemeente? “Een overheid heeft een andere rol dan een commercieel bedrijf”, zegt de gemeentewoordvoerster. “Dienstverlening is anders, omdat er in veel opzichten sprake is van ‘gedwongen winkelnering’. De enige plek voor vergunningen, paspoorten of rijbewijzen is het gemeenteloket. Daarbij is een overheid zowel wetgever of handhaver als gesprekspartner om te komen tot bijvoorbeeld een samenwerkingsverband. Heel divers en vaak ook complex.”

Hoe kijkt Haarlemmermeer naar de groeiende weerstand tegen Chinese technologie en het naderende Haagse besluit over Huawei? “We volgen de ontwikkelingen op de voet. Het is nu juridisch lastig om bij een Europese aanbesteding partijen uit te sluiten. Een rijksoverheidsstandpunt over wel of niet zaken doen met een bepaald bedrijf maakt de situatie duidelijker.”

Schiphol, gemeente Haarlemmermeer. Het Chinese Huawei legde een ICT-netwerk aan voor de gemeente. De AIVD waarschuwt voor economische spionage door China. Beeld EPA

Deltares kiest andere leverancier

Gezien de havens die China aanlegt voor de Nieuwe Zijderoute, of de geopolitieke spanningen rond eilandjes in de Zuid-Chinese Zee, is de belangstelling van China voor waterwerken niet zo verrassend. Kennis-instituut Deltares uit Delft is wereldwijd bekend om zijn expertise op dit terrein.

Huawei, dat nauwe banden heeft met de Chinese overheid, beschrijft in een casestudy uit 2015 hoe de Nederlandse overheid een big-dataproject opzette rond de Nederlandse delta. Deltares creëerde voor deze Digitale Delta het zogeheten Flood Early Warning System om tijdig overstromingen te signaleren. Om de gigantische hoeveelheid data te kunnen analyseren, onder meer afkomstig van watersensoren bij dijken, schafte Deltares een server en opslagapparatuur aan van Huawei. Het bedrijf noemt dit een succesverhaal.

Deltares laat nu weten in het verleden twee hardwaresystemen van Huawei te hebben aangeschaft, als klein deel van het totaal aantal systemen dat Deltares heeft draaien. De systemen zijn inmiddels over hun economische levensduur heen. Een ervan is niet meer in gebruik, het tweede systeem wordt later dit jaar ‘uitgefaseerd’, zegt een woordvoerster. Deltares heeft bij de vervanging gekozen voor een andere leverancier. Dit vanwege “standaardisatie van alle server-hardware, in het kader van beheersbaarheid”.

Inlichtingendienst AIVD waarschuwt Nederlandse kennisinstellingen voor ‘diefstal van onderzoeksbevindingen’, onder meer vanuit China. “Iedereen die specifieke of specialistische kennis bezit, kan doelwit zijn van spionage. Niet iedereen is zich daarvan bewust.”

“Cybersecurity staat bij Deltares zeer hoog op de agenda”, reageert de zegsvrouw. “We monitoren, samen met specialistische partijen, continu ons netwerkverkeer op verdachte activiteiten. Tot op heden zijn hierbij nooit verontrustende zaken naar voren gekomen.”

Huawei wilde patiëntgegevens analyseren 

Net als Nederland heeft ook China jaren van vergrijzing voor de boeg. Het Universitair Medisch Centrum Groningen (UMCG) is specialist in het gezond ouder worden. In 2015 kondigde Huawei vanuit Shanghai de samenwerking aan met het UMCG op het gebied van slimme medische zorg.

Huawei beschrijft een onderzoeksproject dat het risico op ziekenhuisinfecties moet verkleinen, door bij een uitbraak besmette patiënten sneller op te sporen. Hiervoor is het nodig patiëntbewegingen op te slaan. Wat de ICT betreft was voor het onderzoek een “enorme infrastructuur nodig om regionale bio-data te verzamelen en te verwerken”, schrijft Huawei. Het ging om snelle hardware en nieuwe software.

Met zijn “technologische platforms kan Huawei ons helpen onze leidende positie in Nederland en Europa te versterken”, zei vicevoorzitter Folkert Kuipers van het UMCG daarover.

Volgens een woordvoerster van het ziekenhuis bestaat dit onderzoeksproject inderdaad en worden hierbij geanonimiseerde patiëntbewegingen opgeslagen. “Maar Huawei wilde investeringen in het onderzoek koppelen aan de verkoop van hardware. Daar liep de samenwerking op stuk.”

De software is ontwikkeld door het Nederlandse bedrijf Ortec en de woordvoerster zegt dat de data niet worden opgeslagen op servers van Huawei. Het wifi-netwerk voor ziekenhuisgasten is wel van Huawei. Dat blijft voorlopig zo.

De AIVD waarschuwde al voor spionage in de wetenschap. Ook in legitieme samenwerkingsverbanden tussen academische en kennisinstellingen vindt diefstal van onderzoeksbevindingen plaats, meldt de dienst.

Meer informatie in China dan in Nederland

Nederland mag dan een open samenleving zijn, over hun technologische partners zijn veel Nederlandse organisaties gesloten. In China ligt dat anders. Techbedrijf Huawei, dat nauw verbonden is met een overheid die informatiestromen controleert, deelt allerlei details over zijn projecten. Huawei pakt bijvoorbeeld uit met de projecten bij de gemeente Haarlemmermeer, kennisinstituut Deltares en ziekenhuis UMCG. In Nederland is die informatie niet of nauwelijks te vinden.

Lees ook: 

Huawei heeft toegang tot vertrouwelijke klantdata van KPN

KPN staat niet toe dat Huawei het 5G-netwerk bouwt, maar KPN is voor zijn computerprogramma’s al jaren afhankelijk van Huawei, dat in de VS op de zwarte lijst is gezet. De Chinezen kunnen zo bij vertrouwelijke klantinformatie van het Nederlandse telecombedrijf.

Doe geen zaken met Huawai, waarschuwt de Amerikaanse ambassadeur

De Amerikanen voeren campagne tegen het bedrijf Huawei. Ambassadeur Pete Hoekstra probeert Nederland ervan te overtuigen niet in zee te gaan met het Chinese techbedrijf voor de aanleg van supersnel mobiel internet.

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden