Har Kina en bakdør inn i våre datanett?

Førsteside  »  Sikkerhet  »  Har Kina en bakdør inn i våre datanett?
4. okt. 2012 Ingen kommentarer ›› Anders B. WerpFacebooktwittermail

I Norge er sentrale deler av mobilnettet levert av kinesiske Huawei. Både Telenor og NetCom bruker denne leverandøren til kjernen av sine mobilnett. Mobilnettet benyttes i et økende antall anvendelser og er en del av et lands kritiske infrastruktur.

Vil kinesiske myndigheter bruke sine fullmakter, og kreve at selskaper utleverer informasjon om andre lands kritiske infrastruktur? Foto: Peter Fuchs/Flickr

Kinesiske myndigheter har millimeterkontroll på den digitale informasjonsflyten i eget land. Likevel er Kina opprinnelsesland for en svært stor del av hackeraktiviteten og den skadelige cyberaktiviteten vi ser i dag.

I et moderne samfunn er vi i økende grad avhengige av tillit til telekommunikasjons-systemene og leverandørene av disse.  Både samfunnskritiske funksjoner og privatlivet berøres nesten kontinuerlig av disse systemene. Personopplysninger, banksystemer, helsesystemer, logistikk, utdanning, kommunikasjon og utallige andre funksjoner bindes sammen i det som i sum blir kritisk funksjonalitet.

Derfor er det helt avgjørende at vi har tillit til teknologien, nettverkene og informasjonsflyten. Men alle disse faktorene er under daglige angrep. USAs Cyber Command rapporterer at antall angrep har økt med en faktor på 17 bare siden 2009.

Forsvaret mot disse cyberangrepene blir vanskelig, og kanskje umulig, dersom vi ikke kan stole på  infrastrukturen som binder disse komplekse teknologisystemene sammen.

I et tidligere innlegg har jeg skrevet om Høyres bekymring for regjeringens manglende ansvarsfordeling og strategi når det gjelder cybersikkerhet.

Dette innlegget dreier seg om kritisk, digital infrastruktur og i hvilken grad myndighetene skal ha en holdning til hvem som faktisk leverer teknologi, tjenester og utstyr. Er Kina så ufarlige, når vi samtidig vet at kinesiske myndigheter har omfattende fullmakter til å overstyre og tilnærmet ubegrenset mulighet til å hente ut informasjon fra telekom-selskapene? Innlegget dreier seg derfor ikke om de kinesiske telekom-selskapene, men om myndighetene bak selskapene.

USA: Kan vi stole på Kina?

Kongressen i USA. 13. september hadde etterretningskomiteen i Representantenes Hus hadde en høring av Huawei og ZTE. Foto: Wally Gobetz/Flickr

13. september hadde United States House of Representatives Permanent Select Committee on Intelligence (HPSCI) en av sine sjeldne åpne høringer. HPSCI er den faste komiteen for etterretningssaker i Representantenes Hus i den amerikanske Kongressen.

De to kinesiske telekom-selskapene Huawei og ZTE var innkalt til høring som et ledd i en etterforskning av selskapene som komiteen startet i 2011.

Huawei er verdens nest største telekom-selskap. Svenske Ericsson er størst. ZTE er verdens fjerde største.

Amerikanske myndigheter er mildt sagt skeptiske til å slippe kinesiske telekom-selskaper inn på det amerikanske markedet.  Komiteen gjorde det klinkende klart at USAs skepsis er bygget på deres kunnskap om kinesisk aggressivitet i hacking av datanettverk, press mot kritisk infrastruktur og tyveri av hemmelig informasjon og åndsverksrettigheter for enorme beløp. Komiteleder Mike Rogers (republikaner) var krystallklar i sitt innledningsforedrag. Demokratenes talsperson, C.A. Dutch Ruppersberger, fulgte opp med den samme svært kritiske holdningen i sin innledning.

Komiteen var åpenbart godt forberedt og grundig briefet før høringen. Det var også interessant å observere at både demokratene og republikanerne var helt enige i sin tilnærming og skepsis. Her var det ikke spor av politisk uenighet, selv i innspurten av en intens presidentvalgkamp.

Amerikansk skepsis er også fundert på informasjon om at begge selskapene leverer telekom-utstyr til Iran. Huawei har vært tydelige på at de er i ferd med å avslutte sine forretninger i Iran. Imidlertid er det nylig referert til at Huawei leverer teknologien i Irans nye, isolerte internett. Dette nettverket skal isolere landet fra internettet for øvrig og det skal etter planen gi myndighetene i Iran full kontroll over den digitale informasjonsflyten i landet, inkludert avansert overvåkning av trafikken. Nettverket er under oppbygging, og filtrering av informasjonsflyten er allerede satt i funksjon. Huawei fastholder at  «Huawei has not sold equipment to the Iranian government nor does it support monitoring traffic. Huawei only sells commercial equipment built to global standards to commercial operators» (Kilde: Washington Post, se foregående link). ZTE bekrefter at de fortsatt har virksomhet i Iran, men også de hevder at de skal trekke seg ut.

Spørsmålet om kinesisk subsidiering av de to bedriftene ble også tatt opp i høringen, men ble ikke utdypet av komiteen. Trolig fordi dette temaet hører hjemme i et annet forum. Men komiteen refererte til informasjon om subsidiering, eksportfinansiering og gunstige lånebetingelser fra kinesiske myndigheter som favoriserer selskapene i den internasjonale konkurransen med andre selskaper.

Selskapene møtte med sine Senior Vice Presidents, Charles Ding fra Huawei og Zhu Jinyun fra ZTE. Her er de forberedte  innledningene fra henholdsvis Huawei og ZTE.

Selskapene var også godt forberedt. De var klar over at de ville få  svært kritiske spørsmål. Komiteen hadde  oversendt  flere hovedspørsmål før høringen. De to selskapene framstod som oppriktige i sin understreking av at deres drivkrefter er teknologiutvikling, god kundebehandling og forretningsmessig fortjeneste.

Men hvorfor kunne de likevel ikke gi fullverdige svar på hovedspørsmålene? Nemlig de spørsmålene som gikk på kinesiske myndigheters virkemidler til å kontrollere og overstyre selskapene:

  1. I Kina skal alle selskaper ha en komite oppnevnt av kommunistpartiet, hvis oppgave er å ivareta såkalte nødvendige forhold for aktiviteter i regi av kommunistpartiet. Selskapene kunne ikke redegjøre for medlemmene i disse komiteene, eller om det var representanter fra det kinesiske forsvaret i noen av komiteene. Selskapene hadde fått disse spørsmålene på forhånd.
  2. Med henvisning til landets sikkerhet kan kinesiske myndigheter kreve  ubegrenset inspeksjon og utlevering av informasjon og utstyr. I høringen understreket begge selskapene at de ikke ville utlevere hverken informasjon eller utstyr dersom dette var til skade for kundene. Men de kunne ikke svare på i hvilken grad de faktisk ville være i stand til å hindre kinesiske myndigheter dersom et slikt krav skulle komme derfra. Dette var også et hovedspørsmål som var oversendt komiteen på forhånd.
  3. På flere andre spørsmål som komiteen hadde stilt på forhånd, hadde de fått til svar at selskapene ikke kunne besvare disse med henvisning til at selskapenes interne dokumenter kunne bryte med reglene for Kinas statshemmeligheter. Høringen dreide seg om tjenester for privat sektor, ikke militære forhold. Komiteen stilte kritiske spørsmål til hvorfor selskapene på den ene siden understreket at de opererte fritt og uavhengig av kinesiske myndigheter, mens de samtidig satt på statshemmeligheter. Dette ble ikke besvart.

Komiteleder Rogers avsluttet høringen med at han var skuffet over resultatet, og at komiteen etter hans mening ikke hadde fått svar på sine hovedspørsmål.

Hele høringen ble filmet: Del 1 og del 2.

Andre land

I tillegg til USA er det flere land som har utestengt kinesiske telekom-selskaper fra leveranser til sin kritiske infrastruktur, eller innført ekstraordinære sikkherhetsprosedyrer for disse.

Oversikten nedenfor er ikke komplett med tanke på hvilke land som har innført restriksjoner, eller vurderer å gjøre det.

Australia har nylig ekskludert Huawei fra å konkurrere om visse kontrakter vedrørende utbygging av deres nasjonale bredbåndsnettverk.

Storbritannia har implementert kostbare sikkerhetsprosedyrer for de delene av deres infrastruktur som bygger på utstyr fra Huawei.

I India har myndighetene lagt strenge kriterier til grunn for å godkjenne leveranser til indisk infrastruktur fra kinesiske telekom-selskaper. Indiske etterretningsmydigheter har bedt landets myndigheter om å utestenge kinesiske telekom-selskaper fra dette markedet.

I tillegg har EU nå rettet søkelyset på mulig konkurransevridende kinesisk statlig subsidiering, og overveier etterforskning av kinesiske telekom-selskaper og innføring av eventuelle reaksjoner mot disse.

Relevant kinesisk lovgivning

Den kinesiske selskapslovgivningen, the Company Law of the People’s Republic of China har følgende ordlyd vedrørende den kommunistiske komiteen som må etableres i alle selskaper i Kina:
Chapter I General Provisions, Article 19
An organization of the Chinese Communist Party shall, according to the Charter of the Chinese Communist Party, be established in the company to carry out activities of the Chinese Communist Party. And the company shall provide necessary conditions for the activities of the Chinese Communist Party.

Sikkerhetsloven, State Security Law of the People’s Republic of China, har følgende ordlyd vedrørende kinesiske myndigheters fullmakt til å få utlevert informasjon og utstyr fra bedrifter, organisasjoner og personer:
Chapter II Functions and Powers of the State Security Organs in the Work of State Security, Article 11
Where State security requires, a State security organ may inspect the electronic communication instruments and appliances and other similar equipment and installations belonging to any organization or individual.

Og hva så?

Det er ikke uten videre enkelt å få en helhetlig oversikt over alle relevante sider av denne saken. Nedenfor har jeg satt opp noen kontrollspørsmål, med mine vurderinger i hvert tilfelle.

Også utenlandske selskaper i Kina er pålagt å ha en komite fra kommunistpartiet. Er det et problem at Huawei og ZTE følger de samme reglene som alle andre?

Min vurdering: Kommunistpartiet i Kina har medlemmer tilsvarende mindre enn 6% av landets befolkning. Kommunismen bygger på  en ideologi som forutsetter ideologisk underkastelse. Kina er en kommunistisk ettpartistat. Jeg kan ikke se begrunnelsen for en slik komite som annet enn kommunistpartiets ønske om og behov for politisk kontroll og mulighet til å tilegne seg viktig informasjon. Telekom-industrien er utpekt til å være en strategisk sektor i Kina. Derfor må også sikkerhetspolitiske vurderinger tas med i betraktningen. Særlig når vi snakker om å levere teknologi til kritisk infrastruktur så mener jeg det er relevant å sette spørsmålstegn ved myndighetenenes mulighet til å bruke bakrommene til å overstyre og kontrollere selskapene. Selskapene kan ha hederlige og oppriktige ønsker om å ivareta kunder, teknologiutvikling og fortjeneste, uten tanke på nasjonale interesser. Men i Kina er det annerledes. Her er det kommunistpartiet som ene og alene definerer trusselbilde og behov for når de kan stramme grepet, og kommunistkomiteene er et kraftig virkemiddel de har til rådighet. Jeg tror ikke bedriftene er i stand til å motstå et krav fra myndighetene om at kommunistkomiteene i en gitt situasjon går mer aktivt inn i virksomheten.

Alle land har en sikkerhetslovgivning som gir nasjonale myndigheter vide fullmakter til å hente informasjon fra bedrifter ved politietterforskning eller nasjonale kriser. Hvorfor skal ikke Kina kunne gjøre det samme?

Min vurdering: I et demokrati er myndighetenes maktmidler underlagt et strengt lovverk og omfattende kontroll og klagemuligheter – vedtatt av en folkevalgt forsamling. Kina er ikke et demokrati, det er en kommunistisk ettpartistat uten transparens, rettsinstanser, fri presse og kontrollorganer etter demokratisk standard. Kinesiske myndigheter står i prinsippet helt fritt til å bruke virkemidler slik de selv bestemmer, ut fra et trusselbilde/behovsanalyse kommunistpartiet selv definerer. Så lenge det er bestemt av partiet, så er det ingen presse, folkevalgt forsamling eller domstol som vil stille spørsmål, etterprøve eller overprøve lovanvendelsen.

De fleste bedrifter og husholdninger har elektronisk utstyr som er produsert i Kina.  Hvorfor stille kritiske spørsmål kun til Huawei og ZTE?

Min vurdering: Det er stor forskjell på å kjøpe en mobiltelefon og å etablere et nasjonalt mobilnett. I tilfellet med mobiltelefonen så er det et personlig ansvar å velge det produktet man har behov for. Det er relativt begrensede samfunnsmessige konsekvenser dersom noen produktmerker eller modeller blir utsatt for ondsinnet hacking eller ulovlig overvåkning. Selv om det er svært ubehagelig og alvorlig for de som rammes. Med kritisk infrastruktur er det noe helt annet. Her må det foretas overordnede sikkerhetsvurderinger, fordi konsekvensene er store og alvorlige ved ondsinnet tilgang til infratrukturen. Det er ikke tilstrekkelig med en bedriftsmessig vurdering av mulige leverandører av tjenester og utstyr. Man må også vurdere bakenforliggende maktstrukturer, som kan overstyre og kontrollere den enkelte bedrift.

Huawei og ZTEs konkurrenter opererer i Kina, er det ikke forskjellsbehandling og konkurransevridende at kinesiske selskaper møter motstand og skepsis i utlandet?

Min vurdering: Jo det ville det vært, dersom dette hadde vært sammenlignbart. Etter min mening må det være den samme forventningen til Alcatel-Lucent, Ericsson, Nokia Siemens Networks, Cisco og andre telekom-selskaper om et klart og tydelig skille mellom selskap og myndighetene. Når det gjelder kritisk infrastruktur må nasjonale myndigheter, operatørselskaper og brukere være sikre på at opprinnelseslandet til leverandørselskapet ikke kan gripe direkte inn i leverandørenes virksomhet. Jeg vil påstå at Frankrike, Sverige, Tyskland, Finland og USA har klare, demokratiske og etterprøvbare prosesser på dette området. I alle fall når vi sammenligner med Kinas kraftige virkemidler, konsentrerte beslutningsstruktur og lukkede prosesser. Jeg minner også om at EU nå gjennomfører en kritisk gjennomgang av om kinesiske telekom-selskaper har møttatt konkurransevridende subsidier fra den kinesiske stat.

Veien videre

Høringen i HPSCI pekte på en fundamental rammefakor. Nemlig demokrati som forutsetning for trygghet, likevedig konkurranse og forutsigbarhet på tvers av landegrensene. Min tolkning er at det ikke er mulig å etablere en slik trygghet når vi ser nærmere på kommunistpartiets virkemidler og maktmidler overfor selskaper i Kina.

Høringen inneholdt viktige argumenter for et bedre og mer forpliktende internasjonalt samarbeid for bedre cybersikkerhet.

Men veien videre må ikke føre til en automatisk blokkering av handel og industrisamarbeid mellom land som har ulike styresett. Den franske økonomen og politikeren Frederic Bastiat hadde etter min mening helt rett når han sa at «When goods do not cross borders, soldiers will».

Særlig i øst-Asia er handelspolitikk nesten synonymt med utenrikspolitikk. Derfor må vi forsterke innsatsen for gode internasjonale regler og standarder for å ivareta sikkerhet og gjensidig kontroll. Ikke minst må nasjonale myndigheter gjøre enda mer for å bekjempe cyberkriminalitet. Her har særlig kinesiske myndigheter et stort ansvar, hvis de vil vise resten av verden at de tar dette arbeidet på alvor. Så lenge dette ikke er på plass, vil bedrifter som Huawei og ZTE fortsatt møte skepsis og kritiske spørsmål.

Den åpne markedsøkonomien har i seg selv innebygde mekanismer som ivaretar sikkerhet. Jeg vil særlig peke på reglene for børsnotering i våre vestlige land. Disse reglene er ufravikelige når det gjelder åpenhet om strategiske beslutninger, forholdet til myndighetene og åpne beslutningsstrukturer.

Jeg er enig med The Economist som mener at børsnotering i USA eller Hong Kong kunne dempet mye av kritikken mot Huawei og ZTE. Så vidt jeg vet har ikke selskapene noen slike planer.

Men når det gjelder kritisk infrastruktur og andre installasjoner av nasjonal, sikkerhetsmessig betydning må terskelen være høy for å kvalifisere for leveranse av tjenester og utstyr. Dette bør være like selvsagt for sivil sektor, som det er det for den militære.

Av den grunn er det etter min mening gode grunner til å stille kritiske spørsmål til kinesisk telekom-industri.

Tag: , ,

Legg igjen et svar

Disse sidene benytter informasjonskapsler (cookies). mer informasjon

Dette stedet bruker informasjonskapsler (cookies) for å gi den best mulige brukeropplevelsen. Hvis du fortsetter å bruke dette stedet uten å endre dine innstillinger for informasjonskapsler eller trykker "Jeg forstår", aksepterer du dette.

Lukk