EU:s nya regler kring telekomleverantörer och deras begränsningar

Den Europeiska unionen har nyligen beviljat telekomoperatörer en tidsram på tre år för att avlägsna utrustning från så kallade ”högrisk”-leverantörer. Att byta ut kinesiska enheter mot europeiska eller amerikanska alternativ löser dock inte de underliggande problemen med bakdörrar. Det handlar mer om vilken leverantör man väljer än om verklig säkerhet.

Det centrala problemet är att regeringar och telekomoperatörer har byggt en grundläggande infrastruktur på system vars säkerhet inte kan verifieras oberoende. Att ersätta en leverantörs hårdvara med en annan kan i många fall handla mer om sken än om verklig trygghet.

En router eller annan nätverksenhet kan ha sårbarheter på flera nivåer, och de flesta är oavsiktliga, snarare än avsiktliga. Dessa brister kan finnas i firmware, operativsystemet eller i hanteringsprogrammet som körs över dessa enheter.

Sårbarheterna kan uppstå genom enkla programmeringsfel, såsom att en utvecklare glömmer att kräva ett lösenord, lämnar kvar testkod eller missar att uppdatera ett bibliotek med kända brister. Oavsett om en brist har orsakats av slarv eller avsiktlig sabotage är det av mindre betydelse, då det öppnar dörrar för angripare.

Dessutom kan dessa svagheter dölja sig djupt i systemets struktur och förbli oupptäckta i flera år. Standard säkerhetsprogramvara är inte alltid kapabel att identifiera dem, särskilt om bakdörrarna är väl dolda. Antivirus och övervakningsverktyg ser endast ytliga aktiviteter, likt att betrakta en byggnads fönster utifrån.

Flera incidenter bekräftar detta, som i fallet med den kinesiskt kopplade ”Salt Typhoon” som 2025 visade hur hackare kunde infiltrera amerikanska och allierade telefonnätverk och missbruka verktyg avsedda för avlyssning.

Det som gör EU:s föreslagna regler betydelsefulla är dess breda tillämpning. Restriktionerna omfattar inte bara 5G-nätverk utan även kritiska system som gränssäkerhetsskannrar, vattenreningsanläggningar, elnät och medicintekniska produkter. En cyberattack mot dessa system kan i värsta fall hota liv.

Att enbart förbjuda kinesiska leverantörer garanterar inte att ersättningarna är mer transparenta eller säkra. Utan krav på oberoende säkerhetsrevisioner och öppen verifiering av kod kan även europeiska och amerikanska leverantörer vara lika svåra att granska.

EU har nu en chans att kräva att alla leverantörer, oavsett ursprung, uppfyller verifierbara säkerhetsstandarder. Detta inkluderar öppenhet kring kod, regelbundna säkerhetstester och transparenta processer för hantering av sårbarheter.

Den avgörande frågan bör inte vara vilket lands utrustning som köps. Det viktiga är om någon verkligen kan verifiera att den är säker, eller om vi enbart byter från en uppsättning svarta lådor till en annan.

Aras Nazarovas är senior informationssäkerhetsforskare på Cybernews, en forskningsdriven onlinepublikation. Aras är specialiserad på cybersäkerhet och hotanalys. Han undersöker onlinetjänster, skadliga kampanjer och hårdvarusäkerhet samtidigt som han sammanställer data om de vanligaste cybersäkerhetshoten.