EU:s åtgärder mot telekomleverantörer: En lösning utan verklig säkerhet

Europeiska unionen har nyligen givit telekomföretag tre år för att avlägsna utrustning från så kallade ”högrisk”-leverantörer. Att byta ut kinesiska produkter mot europeiska eller amerikanska alternativ löser dock inte problemet med bakdörrar. Det handlar snarare om vem man litar på.

Det verkliga problemet är att regeringar och telekomoperatörer har byggt kritisk infrastruktur på system som inte kan verifieras oberoende. Bytet av en leverantörs hårdvara mot en annan kan handla mer om yta än verklig säkerhet.

En router eller nätverksenhet kan ha säkerhetsbrister på flera nivåer, där många av dessa är oavsiktliga snarare än avsiktliga. Svagheter kan gömma sig i firmware, operativsystem eller hanteringsprogramvara. Dessa kan vara enkla kodningsfel, vilket kan skapa sårbarheter.

Det spelar mindre roll om en brist uppstod genom dålig ingenjörskonst eller avsiktlig sabotage; båda sätten öppnar dörrar för angripare. Dessa sårbarheter kan dölja sig i systemets djup och förbli oupptäckta under många år.

Standard säkerhetsprogramvara kan ibland missa dessa dolda hot, särskilt om de är väl dolda. Antivirus och övervakningsverktyg ser endast vad som sker på ytan, likt att betrakta en byggnads fönster utifrån.

År 2025 avslöjade utredningar av den kinesiskkopplade ”Salt Typhoon” hur hackare lyckats infiltrera amerikanska och allierade telefonnätverk, där de missbrukade inbyggda avlyssningsverktyg.

EU:s förslag är av stor betydelse på grund av dess omfattning. Restriktionerna gäller inte bara 5G-nätverk utan även system som gränssäkerhetsskannrar och elnät. En cyberattack kan till och med hota liv genom att påverka sjukhus eller vattenförsörjning.

Bara förbud mot kinesiska leverantörer garanterar inte att ersättningarna är transparenta eller säkra. Utan krav på oberoende säkerhetsgranskningar kan europeiska och amerikanska leverantörer vara lika bristfälliga som de kinesiska som tas bort.

EU har en möjlighet att gå längre än att bara byta leverantörer. De kan ställa krav på att alla leverantörer ska uppfylla verifierbara säkerhetsstandarder. Detta inkluderar att öppna koden för oberoende granskning och genomgå regelbundna säkerhetstester.

Den centrala frågan är inte vilken nations utrustning som köps, utan om någon verkligen kan kontrollera dess säkerhet – eller om vi bara byter en uppsättning svarta lådor mot en annan.

Aras Nazarovas är senior informationssäkerhetsforskare på Cybernews, där han specialiserar sig på cybersäkerhet och hotanalys.