China is een dictatuur waar de dictatoriale overheid haar ‘onderdanen’ duchtig bespioneert. Het land doet weliswaar zaken met het buitenland, maar die bedrijven moeten zich dan wel aan de Chinese ‘mores’ houden. Zo eist China dat techbedrijven ‘achterdeurtjes’ in hun producten inbouwen om de Chinese gebruikers ook via die producten te kunnen bespioneren. Overigens hebben eerder Amerikaanse opsporingsdiensten voor soortgelijke zaken gepleit en de VS zien zichzelf als allesbehalve een dictatuur. Ook in andere democratische staten krijgen veiligheidsdiensten steeds meer mogelijkheden de eigen burgers in de gaten te houden.
Digitale inbrekers maken vaak gebruik van menselijke onnozelheid, maar ook van kwetsbaarheden in de programmatuur; ook staatsgebonden inbrekers. In China bestaat sedert twee jaar een wet die alle netwerkbeheerders (dus ook buitenlandse) verplicht kwetsbaarheden in hun producten te melden aan de autoriteiten. Die zouden die kennis delen met staatsondersteunde kraakgroepen, zo zou uit recent onderzoek van Atlantic Council zijn gebleken. Sommige buitenlandse bedrijven zouden zich naar die wet plooien. Overigens vraagt de Chinese overheid niet zo’n gedetailleerde informatie dat daarmee die kwetsbaarheden ook direct zouden zijn te misbruiken, maar het lijkt wel op een geval van de kat (=krakers) op het spek (=digitale inbraak) binden.
De bewuste wet is in 2021 aangenomen. Die regelt hoe bedrijven moeten omgaan met lekken in de code van hun producten. Die dienen ze binnen twee dagen te melden aan een agentschap van het ministerie van industrie en informatietechnologie.
Die kwetsbaarheden worden vervolgens opgeslagen in een databank. Die informatie wordt vervolgens gedeeld met, onder meer, een overheidsagentschap dat de verdediging van Chinese netwerken tot taak heeft: CNCERT/CC in Engelse afko. Die deelt die informatie vervolgens weer met ’technologiepartners’ onder wie het ministerie van staatsveiligheid, die die informatie ook weer doorgeeft.
Conformeren
Al sedert de aanvaarding van de wet was duidelijk wat de bedoeling ervan was. Een kwetsbaarheid is niet in de twee dagen opgelost die de Chinese overheid bedrijven geeft om die te melden. Techbedrijven staan dan voor de keus om China te verlaten of zich te schikken naar de wet met alle problemen van dien.
Het lijkt er op dat verschillende buitenlandse techbedrijven voor die laatste optie gekozen hebben. Bedrijven zouden natuurlijk de wet ook naar de eigen hand kunnen zetten door niet het achterste van hun tong (de hele informatie) door te geven.
Het ministerie van industrie en informatietechnologie publiceerde op WeChat een lijst van zes buitenlandse bedrijven die voor het ‘examen’ waren geslaagd: Beckhoff, D-Link, Kuka, Omron, Phoenix Contact en Schneider Electric. Alleen D-Link en Phoenix Contact zouden direct geweigerd hebben de overheid die informatie te verschaffen.
Bron: Wired