EUs senaste åtgärder mot telekomleverantörer och deras begränsningar

Europeiska unionen har nyligen infört en treårig tidsram för telekomoperatörer att avlägsna utrustning från så kallade ”högrisk”-leverantörer. Men att byta ut kinesiska enheter mot europeiska eller amerikanska alternativ kommer inte att lösa bakdörrsproblematiken. Som hon säger, ”Det ändrar bara vems bakdörrar du litar på.”

Den centrala frågan är att både regeringar och telekomföretag har byggt kritisk infrastruktur på system med begränsad verifierbarhet. Att byta leverantörer kan handla mer om att ge en illusion av säkerhet snarare än att uppnå faktisk säkerhet.

Sårbarheter i en router eller nätverksenhet kan uppstå på flera nivåer, av vilka många är oavsiktliga, inte avsiktliga. Som hon säger, ”Dessa sårbarheter kan gömma sig i den firmware som körs när utrustningen först slås på, i själva operativsystemet eller i hanteringsprogramvaran som körs ovanpå.”

Det kan handla om enkla programmeringsmisstag, som att en utvecklare glömde att kräva ett lösenord eller lämnade kvar testkoder. Att förstå huruvida en brist beror på slarv eller avsiktligt sabotage är mindre avgörande än man skulle kunna tro.

Det är viktigt att notera att traditionell säkerhetsprogramvara ofta misslyckas med att upptäcka dolda sårbarheter. Som hon säger, ”Antivirus- och övervakningsverktyg kan bara se vad som händer på ytnivå, vilket är som att titta på en byggnads fönster utifrån.”

Exempel på detta har observerats, som i fallet med ”Salt Typhoon” år 2025, där hackare lyckades infiltrera amerikanska och allierade telefonnätverk. Det är tydligt att hoten sträcker sig långt bortom telekommunikation.

Det som gör EU:s förslag så betydelsefullt är dess omfattning. Restriktionerna inkluderar inte bara 5G-nätverk utan även gränssäkerhet, vattenrening och medicinska system. Som hon säger, ”Det här är system där en cyberattack kan hota liv, till exempel genom att stänga ner sjukhus eller förorena vattenförsörjning.”

Bara förbudet mot kinesiska leverantörer garanterar inte att de europeiska eller amerikanska alternativen är mer transparenta eller säkra. Utan krav på oberoende säkerhetsrevisioner och öppen verifiering av kod kan situationen förbli oförändrad.

EU har en chans att göra mer än att bara byta leverantörer. Som hon säger, ”De skulle kunna kräva att alla leverantörer, oavsett nationalitet, uppfyller verifierbara säkerhetsstandarder.”

Frågan handlar inte om vilket lands utrustning som skall köpas, utan om möjligheten att verifiera att den är säker – eller om det bara handlar om en ny uppsättning svarta lådor,

OM ARAS NAZAROVAS

Aras Nazarovas är senior informationssäkerhetsforskare på Cybernews, en forskningsdriven onlinepublikation. Hon specialiserar sig på cybersäkerhet och hotanalys och undersöker skadliga kampanjer och hårdvarusäkerhet.