China zit al overal in onze netwerken

Telecommunicatie KPN kiest Huawei voor het minst kwetsbare onderdeel van het 5G-netwerk. Chinese technologie is te vinden in alle lagen van de Nederlandse data-infrastructuur. Niet alleen bij mobiele telefonie, maar ook in de glasvezelkabels. NRC maakte een rondgang langs providers, datacentra en knooppunten.

Illustraties XF&M

Eerst je paspoort. Dan je vingerafdruk. Daarna door een beveiligde draaideur waar je tegelijk wordt gewogen – voor het geval je apparatuur probeert te smokkelen. Niets wordt aan het toeval overgelaten als je datacenter Interxion (spreek uit: Interaction) in het Amsterdamse Science Park betreedt. Dit is de bakermat van het Nederlandse internet. Hier koppelde SURF in de jaren tachtig de universitaire rekencentra aan elkaar. En in 1994 werd op deze plek de Amsterdam Internet Exchange (AMS-IX) opgericht, nu een van de grootste internetknooppunten ter wereld.

Wat Schiphol voor reizigers is en de Rotterdamse haven voor goederen, is Amsterdam voor de digitale wereld: een doorvoerhaven waar meer dan 850 providers en cloudaanbieders als Microsoft, Google en Amazon dataverkeer uitwisselen, via veertien datacentra.

Drie jaar geleden besloot AMS-IX al zijn glasvezelverbindingen met Huawei-apparatuur te belichten. Dat was een efficiencyslag, om sneller te kunnen uitbreiden en het aantal fysieke kabels – de ASM-IX huurde er een paar honderd – terug te brengen naar enkele tientallen. Multiplexing heet deze techniek: het licht wordt verdeeld in verschillende kleuren, waardoor er tachtig keer zoveel data door dezelfde kabel passen. De promotievideo op de Huawei-site toont trots dat the world’s leading Internet Exchange voor Huawei koos.

Een Chinees bedrijf dat de snelwegen van het Nederlandse internet verbindt. Wat zou er gebeuren als die apparatuur, via een verborgen schakelaar, in één keer uitgezet wordt? Zou het internet in Europa of Nederland dan plat komen te liggen?

Zo’n vaart loopt het niet, denkt Henk Steenman, verantwoordelijk voor de technologie van de AMS-IX. „Geen enkele provider heeft maar één koppeling met de buitenwereld. Maar àls zoiets zou gebeuren, dan zal het web wel wat trager worden.”

Niet dat het een realistisch scenario is, voegt Steenman eraan toe. Het beheer van de systemen waarmee Huawei datacentra met elkaar verbindt, is goed afgesloten. AMS-IX laat zich bovendien doorlopend testen op kwetsbaarheden.

Waarom werd het Huawei? „Bij de aanbesteding bleken maar twee bedrijven te kunnen leveren wat we nodig hadden”, zegt Henk Steenman. Hij moest kiezen tussen een Chinese en Amerikaanse leverancier, en koos de goedkoopste. AMS-IX heeft geen spijt van die beslissing: het knooppunt draait al drie jaar als een zonnetje.

Maar toch. Zou hij de keuze nu opnieuw moeten maken, dan laat Steenman ook andere factoren meewegen. „De wereld was in 2016 compleet anders. Je kunt het politieke rumoer niet negeren.”

Achterdeurtjes

Het Nederlandse kabinet buigt zich over de vraag of China niet te veel invloed krijgt op onze economie en vitale infrastructuur. Daartoe wordt ook de AMS-IX gerekend. De aanleiding is 5G: via nieuwe netwerken voor mobiel dataverkeer, die het fundament voor een digitale industrie en economie moeten vormen, zouden bedrijven als ZTE of Huawei kennis en bedrijfsgeheimen kunnen stelen. Of een verborgen kill switch overhalen op commando van de Chinese staat.

Bewijs voor zulke achterdeurtjes is nooit gevonden. Toch moeten we Huawei weren, zeggen politieke partijen als VVD, CDA en GroenLinks.

Veiligheidsdienst AIVD is minder stellig. In zijn jaarverslag staat dat het „onwenselijk is als Nederland afhankelijk is van systemen of producten uit landen die een offensief cyberprogramma hebben, gericht tegen Nederland”. Lees: China en Rusland. Van een banvloek over bedrijven is echter geen sprake. De telecomsector wordt niet genoemd in het verslag, al heeft Nederland volgens de AIVD „een bijzondere verantwoordelijkheid voor de ICT-infrastructuur waar internetverkeer van vrijwel de hele wereld doorheen stroomt”.

Er is geen provider die niet met Chinese apparatuur werkt. De drie telecomnetwerkeigenaren, KPN, VodafoneZiggo en T-Mobile, zijn huiverig om – onder zoveel politieke druk – over dit onderwerp naar buiten te treden. Een verbod op Chinese apparatuur is in hun ogen ondenkbaar, al was het maar om de kosten te drukken en alle leveranciers scherp te houden.

De providers bereiden zich voor op de veiling van 5G-frequenties en moeten daarvoor apparatuur inkopen. Zolang de Nederlandse China-strategie onduidelijk is, kunnen ze niet verder.

Duitsland, België en het Verenigd Koninkrijk hebben geen onoverkomelijk bezwaar tegen Huawei-apparatuur – het VK wil Huawei wel uit ‘belangrijke plaatsen’ in het netwerk weren. In Nederland is die beslissing naar mei doorgeschoven. Providers moeten eerst bij de Nationaal Coördinator Terrorismebestrijding en Veiligheid een lijstje inleveren met de plekken waar Chinese apparatuur in hun netwerk zit.

Je kunt beter vragen: waar niet.

Topje van de ijsberg

Bij een mobiel net is het radionetwerk – de verbindingen tussen telefoon en zendmast – het topje van de ijsberg. Spraak en data worden afgehandeld in het centrale netwerk of core – datacentra met routers en servers, die elke provider heeft. Daarnaast staat het klantensysteem, het administratieve brein van telecomdiensten dat bijhoudt wie met wie belt, hoeveel data gebruikt worden en wie wat moet betalen. Het transportnetwerk – glasvezel- en satellietverbindingen tussen zendmasten – koppelt alle elementen aaneen.

In het radionetwerk is de keuze van aanbieders in Nederland beperkt tot Ericsson, Nokia en Huawei. Vodafone gebruikt Ericsson-antennes. KPN wil een radionetwerk van Huawei, T-Mobile gebruikt nu al Huawei-antennes. Tele2, onlangs overgenomen door T-Mobile, neemt afscheid van zijn Nokia-netwerk.

Zoals het er nu naar uitziet, loopt straks dus tweederde van de Nederlandse mobiele verbindingen via een Huawei-radionetwerk. Er zijn verschillen: KPN heeft het netwerk in eigen beheer, T-Mobile besteedt onderhoud uit aan Huawei. T-Mobile regelt wel zelf, via beveiligde processen, welke monteurs waar aan de slag mogen.

Het draait om software

Het communicatienetwerk is het kwetsbaarst op de plek waar alle data samenkomen: de core. Toen in 2012 een brand het Vodafone-datacenter in Rotterdam platlegde, duurde het dagen voordat de storingen verholpen waren. Hoe afhankelijk zijn providers op deze cruciale plekken van Chinese leveranciers?

T-Mobile gebruikt Huawei om het huidige 4G-netwerk te runnen. Voor de update naar 5G is helemaal geen nieuwe apparatuur nodig, maar nieuwe software, benadrukt de provider. KPN’s klantensystemen draaien nu op Huawei, Vodafone maakt naar eigen zeggen „bescheiden” gebruik van Huawei-apparatuur in zijn netwerk.

Voor het centrale netwerk is de keuze uit leveranciers groter dan bij radioantennes. De intelligentie van moderne netwerken wordt namelijk in toenemende mate bepaald door software. Daardoor is minder belangrijk welk bedrijf de hardware levert – de ‘dozen’, zoals ze in het datacenter genoemd worden.

Fernando Kuipers, hoofddocent netwerktechnologie aan de TU Delft: „Je kunt het vergelijken met een pc, waarop de keuze van het besturingssysteem vrij is en je zelf bepaalt welke losse programma’s daarop worden geïnstalleerd. Het merk pc doet er dan nog weinig toe.”

Wie de hardware levert, wordt van minder belang. Software bepaalt in moderne netwerken de intelligentie van het netwerk

Het draait dus om software, en dat geldt zeker voor 5G. Die infrastructuur zal diverse soorten netwerken tegelijk aanbieden – op maat gemaakt voor elk type gebruiker en elk type dienst. Zoveel flexibiliteit krijg je alleen voor elkaar als je het netwerk programmeerbaar maakt, met hardware die uitwisselbaar is. Dat maakt providers in theorie minder afhankelijk van één leverancier.

Een mogelijkheid om verborgen achterdeurtjes uit te sluiten: netwerkbeheerders maken vaker gebruik van ‘open hardware’, apparaten waarvan de blauwdrukken volledig openbaar zijn en die iedereen dus kan controleren.

Kuipers vindt dat een positieve ontwikkeling: „Je gebruikt geen kant-en-klaar product, maar een merkloze doos die je zelf volledig inricht. Zo weet je precies wat er met je data gebeurt.”

Bij SURF, een netwerk dat alle hogescholen en universiteiten van Nederland met elkaar verbindt, experimenteren ze met open hardware. Dat komt de diversiteit ten goede, zegt Ruben van den Brink, netwerkspecialist van SURF – dat zelf overigens geen Chinese apparatuur gebruikt. „Begin jaren negentig bestond internet voor 99 procent uit Cisco, maar de afhankelijkheid van één partij is niet verstandig.” In die beginjaren wilde het internet nog weleens wereldwijd uitvallen.

Zoals in een datacenter voor de zekerheid alles dubbel uitgevoerd is – stroom, internetverbinding, beveiliging – mag ook het netwerk niet eenkennig zijn. Je wilt niet opgesloten zitten bij één leverancier, of die nu Chinees, Amerikaans of Europees is.

De kwetsbare plekken

Voor datatransport gebruiken telecomproviders eigen glasvezelverbindingen of ze huren die bij bedrijven als Eurofiber. Eurofiber gebruikt in Nederland geen Huawei-apparatuur, behalve bij dochter DCSpine. KPN en T-Mobile kozen voor Nokia om glasvezels te belichten.

Op glasvezelniveau wordt internet tastbaar. Kwetsbaar ook: medewerkers gebruiken poetsdoekjes als ze optische apparatuur aansluiten. Het kleinste stofje voor de laser kost meteen capaciteit. Ongemerkt glasvezel aftappen is dan ook onmogelijk, zeggen de experts. Je merkt het meteen aan de verminderde hoeveelheid licht.

Spioneren is niet eenvoudig als je doelgericht informatie zoekt in de enorme, versleutelde datastromen die door glasvezels lopen. Wellicht gaat dat makkelijker als providers van 5G-netwerken kleinere datacentra op locatie gaan bouwen, bij bedrijven.

Ook gevoelig zijn klantensystemen, waar activiteiten van alle gebruikers geregistreerd worden. Providers zelf zien smartphones als een groter veiligheidsrisico: gebruikers kunnen lukraak apps installeren en informatie lekken – ook naar China.

Zelfs al zouden de 5G-netwerken het straks zonder Huawei of ZTE moeten doen, Nederland kan niet zonder deze Chinese bedrijven. Hun apparatuur staat al in miljoenen Nederlandse meterkasten, dankzij de modems die KPN en T-Mobile gebruiken voor vaste verbindingen. Nokia, Ericsson en Amerikaanse bedrijven laten trouwens ook hardware in China produceren. Aan die apparatuur kan een verborgen functie worden toegevoegd – zoals de Amerikaanse geheime dienst achterdeurtjes in Cisco-routers inbouwde.

Techneuten letten op specificaties, niet op herkomst. Een netwerk inrichten is een kwestie van ‘georganiseerd vertrouwen’, zegt Van den Brink van SURF. Hij haalt het klassieke netwerkmodel aan, opgebouwd uit zeven lagen, van de fysieke kabel tot de uiteindelijke toepassing. In de praktijk is er nog een achtste laag: de politiek.

De discussie over China lijkt te gaan over veiligheid, maar gaat in werkelijkheid over China’s opmars als technologische grootmacht. Huawei drukt zijn stempel op de nieuwe netwerkstandaarden en de Amerikanen verliezen terrein in een domein dat ze decennialang beheersten – al sinds de begintijd van het internet.