Het Chinese telecombedrijf Huawei heeft onbeperkt toegang gehad tot de adres- en facturatiegegevens van miljoenen Telfort-klanten. Dit schrijft de Volkskrant, dat de hand heeft gelegd op een vertrouwelijk intern onderzoek uit 2011 van Telforts moederbedrijf KPN.
In het onderzoek van KPN destijds kwam naar voren dat Huawei in het klant- en facturatiesysteem dat het Chinese bedrijf beheerde, achterdeurtjes had ingebouwd om gegevens van Telfort-abonnees te kunnen inzien en kopiëren. Hoe vaak en door wie klantgegevens zijn ingezien is niet bekend, maar de Volkskrant meldt dat uit het onderzoek blijkt dat dit “regelmatig” gebeurde. De onderzoekers schreven destijds dat dit leidde tot “onveiligheid, instabiliteit en/of het risico op datalekken”. Nadat KPN hierachter kwam, heeft het Huawei meermaals gevraagd om de systemen aan te passen, maar hier ging Huawei niet op in.
Doorsluizen
“Huawei kon bij klantgegevens en als ze wilden, hadden ze alles kunnen doorsluizen naar China”, zo citeert de Volkskrant een van de onderzoekers. "Er is alleen nooit onderzoek gedaan naar wat ze precies hebben gekopieerd.”
KPN zegt in een reactie tegen de krant dat er geen enkele aanleiding is om “te veronderstellen dat er gegevens van Telfort-klanten waren ontvreemd, door wie dan ook”, maar betrokkenen noemen dit zonder verder onderzoek een voorbarige conclusie. Volgens KPN toont het rapport aan dat het bedrijf destijds scherp was op mogelijke datalekken. Ook zijn volgens een KPN-woordvoerder “alle verbetermaatregelen” uit het rapport destijds doorgevoerd. KPN heeft zijn bevindingen destijds niet gemeld bij de Autoriteit Persoonsgegevens (wat toen ook nog niet verplicht was) en ook zijn klanten niet geïnformeerd. Huawei zegt tegen de Volkskrant niet te kunnen reageren op het rapport.
Telfort was in 2004 het eerste Europese bedrijf dat zaken deed met Huawei, onder meer voor de aanleg van het 3G-netwerk, zo schrijft techwebsite AGconnect.nl. Een jaar later nam KPN Telfort over waarna KPN ook voor het eigen netwerk Huawei-apparatuur ging gebruiken. In 2010 bouwde Huawei samen met HP een nieuw facturatiesysteem voor Telfort, waarbij HP de rol had van service integrator. Het was ook HP dat ontdekte dat Huawei toegang had tot de database met klantgegevens, zonder dat er loggegevens werden bijgehouden. Inmiddels is het betreffende klantsysteem vervangen.
Diep in de systemen
“Dit interne rapport zegt niet dat alle klantgegevens van Telfort naar China gekopieerd zijn, maar wel dat Huawei zichzelf de positie had gegeven om dat te kunnen doen”, zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit in Nijmegen tegen de Volkskrant. Hij meent dat het rapport een belangrijk inzicht geeft in Huawei’s werkwijze. “Dat is kennelijk hoe ze hun software leveren. En dat is waar we nu nog steeds een belangrijke les aan hebben: Huawei blijkt zelf diep in de geleverde systemen aanwezig.”
Inlichtingendienst AIVD heeft KPN de afgelopen jaren al vaker gewaarschuwd voor Chinese spionage. In 2019 stuitte KPN daadwerkelijk op een toegangspad naar klantgegevens, waarvan alleen Huawei-medewerkers gebruik konden maken.
Vanwege het risico op spionage wordt Huawei in veel Europese landen, waaronder ook Nederland, geweerd bij de aanleg van gevoelige delen van het 5G-netwerk. Het bedrijf mag alleen nog onderdelen leveren voor het radio- en antennenetwerk. In de VS staat Huawei op de zwarte lijst van bedrijven waar niet mee mag worden samengewerkt.