Dit najaar legt de overheid extra eisen op aan de telecomnetwerken, om de risico's van buitenlandse spionage te beheersen. Dat schrijft minister Grapperhaus van Justitie en Veiligheid in een brief aan de Tweede Kamer, mede namens staatssecretaris Mona Keijzer van EZK. Met het oog op de veiligheid en (spionage)risico's van toekomstige 5G-netwerken adviseert de overheid om extra eisen en beveiligingsmaatregelen op te leggen aan de levering en het gebruik van 5G-infrastructuur in Nederland.
Zeven ministeries, de AIVD en de MIVD hebben eerder al een taskforce ingesteld voor meer onderzoek naar de veiligheidsaspecten van telecom in het algemeen en 5G in het bijzonder. KPN, VodafoneZiggo en T-Mobile-Tele2 hebben meegewerkt aan de analyse.
Supply chain als doelwit voor statelijke actoren
In de afgelopen jaren zien de AIVD en de MIVD een toename van het aantal ‘supply chain attacks’ door statelijke actoren. Bij supply chain attacks worden dienstverleners, zoals internet service providers, telecomproviders en managed service providers, ingezet als springplank om doelwitorganisaties te infiltreren. Er wordt dan misbruik gemaakt van de hard- en software van deze dienstverleners.
Deze aanvalsroute is interessant, omdat het mogelijkheden biedt om 'in de bloedsomloop' van data(stromen) binnen te dringen. Dit biedt spionagemogelijkheden door zo op grote schaal persoons-, technisch/wetenschappelijke, financieel-economische, militaire en politiek-bestuurlijke gegevens van zowel publieke, militaire en private organisaties te vergaren.
Naast spionage bestaat er nog een risico, namelijk sabotage van publieke en private diensten. Uit sommige landen komt nog een extra risico: de overheid kan er bedrijven dwingen om mee te werken en statelijke actoren toegang te verlenen tot netwerken. De aanvallers komen dan via legitieme ingangen binnen.
Nieuwe risico's door 5G
5G faciliteert naar verwachting een significante toename van de aan het internet gekoppelde hard- en software in de persoonlijke levenssfeer van burgers, het bedrijfsleven, de vitale infrastructuur, Defensie en de (Rijks)overheid. De uitrol van 5G is zeer belangrijk voor de samenleving, maar introduceert dus ook nieuwe risico's risico’s voor de privacy van burgers en voor de vertrouwelijkheid van gevoelige bedrijfs- en overheidsinformatie.
De Taskforce heeft de kritieke onderdelen geïdentificeerd op basis van de risicoanalyse. Met de extra eisen wordt de kwetsbaarheid van de telecommunicatienetwerken voor misbruik via leveranciers van technologie voor deze netwerken verder verminderd, zo schrijft Grapperhaus.
Extra hoge eisen voor leveranciers
Op basis van deze analyse zullen telecomaanbieders worden verplicht om aanvullende beveiligingsmaatregelen te nemen. Een van de maatregelen die wordt genomen is dat extra hoge eisen worden gesteld aan leveranciers van diensten en producten in de kritieke onderdelen in het telecomnetwerk.
De maatregelen worden komend najaar vastgelegd in een algemene maatregel van bestuur. Vanwege risico’s voor de nationale veiligheid zal de Kamer in een vertrouwelijke setting nader worden geïnformeerd over de bevindingen van de Taskforce.
