Telekomoperatörer och bakdörrar: En komplex utmaning för EU

Europeiska unionen har nyligen infört en tidsram på tre år för telekomoperatörer att avlägsna utrustning från så kallade ”högrisk”-leverantörer. Men att byta ut kinesiska enheter mot europeiska alternativ löser inte bakdörrsproblematiken. Det handlar snarare om att ändra vilka bakdörrar man litar på.

Det centrala problemet är att telekomföretag har byggt sin infrastruktur med system som inte kan verifieras oberoende. Att byta en leverantör mot en annan kan i många fall handla mer om yta än om verklig säkerhet.

Säkerhetsbrister kan uppstå på olika nivåer i en nätverksenhet, där många är oavsiktliga snarare än avsiktliga. Dessa svagheter kan dölja sig i firmware, operativsystem eller programvara som körs ovanpå.

En brist kan ha uppstått genom enkla programmeringsmissar, som att ett lösenord har glömts, testkod har lämnats kvar i produkten, eller att kända sårbarheter inte har uppdaterats. Hur bristen introducerats – genom slarv eller sabotage – spelar mindre roll, då båda alternativen ger intrångsmöjligheter.

Dessa sårbarheter kan förbli dolda under lång tid, inte sällan i delar av systemet som sällan uppdateras. Standard säkerhetsprogramvara har inte alltid kapacitet att identifiera dem, särskilt när bakdörrarna är djupt dolda.

Historiskt har vi sett exempel på detta; utredningar relaterade till ”Salt Typhoon” har visat hur hackare lyckades infiltrera amerikanska telekomnät och missbruka avlyssningsverktyg.

Detta EU-förslag är ytterst avgörande då dess restriktioner omfattar mer än bara 5G-nätverk. Det berör även kritiska system som gränssäkerhet, vattenrening och medicintekniska produkter, där cyberattacker kan leda till livshotande konsekvenser.

Att förbjuda kinesiska leverantörer garanterar inte nödvändigtvis att ersättningarna är mer transparenta. Utan krav på oberoende säkerhetsgranskningar och regelbundna tester kan europeiska alternativ vara lika ogenomskinliga.

EU har möjlighet att gå längre än att bara byta leverantörer. De bör ställa krav på att alla leverantörer måste uppfylla verifierbara säkerhetsstandarder. Det handlar om att öppna sin kod för granskning och att genomgå regelbundna tester.

Den centrala frågan är inte bara vilket lands utrustning som väljs. Det handlar om att säkerställa att utrustningen kan granskas för att verifiera dess säkerhet och inte bara byta ut en uppsättning svarta lådor mot en annan.