- Umulig å oppdage ondsinnet kode

- Umulig å oppdage ondsinnet kode

Kan kinesiske myndigheter drive spionasje gjennom ondsinnet programvare skjult i it-utstyr? Ja, mener ekspertene. Og det er praktisk talt umulig å gjøre noe med.

- Huawei er det samme respekterte globale selskapet i dag som i forrige uke. Ingen ting er endret. Huawei er Huawei, Huawei er ikke det samme som Kina.

Ordene tilhører konserdirektør William Plummer i den kinesiske teknologigiganten.

Huawei avviser på det sterkeste at de stiller seg til disposisjon for spionasje. Sitatet er hentet fra en epost Plummer sendte til Computerworld i USA i forrige uke.

Det var etterretningskomiteen i Representantenes Hus i den amerikanske Kongressen som satte Huawei-saken i gang. I en rapport offentliggjort i forrige uke advarte komiteen amerikanske myndigheter mot å tillate teleselskaper å bruke nettverksutstyr fra kinesiske Huawei og ZTE - i frykt for mulige bakdører og ondsinnet kode som kunne brukes til spionasje.

Tette bånd

Komiteen i Representantenes Hus mener det er svært problematisk med det de hevder er tette bindinger mellom utstyrsprodusenten og myndighetene i Kina.

Saken har gått verden rundt og Huawei har vært under et voldsomt press. Talspersoner for selskapet hevder amerikanerne driver et politisk spill og at de aldri ville satt tilliten til selskapet i fare, og viser til fjorårets omsetning på 185 milliarder kroner for å illustrere at mye står på spill.

Komiteen for etterretningssaker i Representantenes Hus startet allerede i 2011 etterforskning av sikkerhetsrisiko knyttet til kinesiske it-selskaper. De to kinesiske telekom-selskapene Huawei og ZTE var innkalt til høring tidligere i høst.

Stortingsrepresentant Anders Werp fra Høyre stilte på bakgrunn av dette spørsmål til samferdselsministeren 25. september om hvilke undersøkelser og vurderinger av sikkerhet og risiko norske myndigheter bidrar med.

Samferdselsminister Marit Arnstad svarte at hun hadde tillit til at innkjøperne gjør de nødvendige risiko- og sårbarhetsanalyser ved valg av leverandør.

Tester kun bruk

Telenor har hatt en avtale med Huawei siden 2009 og kommunikasjonsdirektør Torild Uribarri i Telenor Norge forteller at selskapet har løpende dialog med dem om leveransene.

- Vi kan ikke gå inn på dialogen med Huawei siste uke, men det er naturlig at vi som kunde har bedt om deres forklaringer på den amerikanske rapporten - gitt den oppmerksomheten den har fått i Norge og andre land. Når det er sagt, er det viktig at huske at verken Huawei eller andre kinesiske leverandører er svartelistet i Norge, sier Uribarri.

Kommunikasjonsdirektøren sier at sikkerhet får stadig større betydning.

- Vi gjør risikovurderinger, vurderer sårbarheter og utarbeider trusselvurderinger for å sikre våre kunder, nasjonen Norge og oss selv på best mulig måte. Også området organisert kriminalitet har stadig større fokus.

- Hvordan testes utstyret?

- Før produksjonssetting går vi gjennom hele systemet, inklusive utstyr, for å sikre at systemet fungerer. Vi tester altså at løsningene fungerer i nettet slik at kundene skal oppleve sikre, gode og stabile løsninger.

Dette er funksjonell testing. Telenor leter etter det Computerworld forstår ikke direkte etter ondsinnet programvare.

Usikkerheten sådd

At leverandørene har ansvaret er også svaret fra Nasjonal Sikkerhetsmyndighet (NSM). Men det offentlige fagorganet ser nå på mulighetene for å kunne sette flere og strengere krav.

Informasjonssjef Kjetil Berg Veire i NSM forteller at da de vurderte denne saken i 2009 og 2010, landet de på at de ikke hadde klare hjemler i lovverket til å stille krav til leveransen av nettverksutstyr til Telenor og Netcom.

- Siden sist er det kommet to nye forskrifter: Forskrift om informasjonssikkerhet og Forskrift om objektsikkerhet. Vi vurderer nå hva slags handlingsrom dette gir oss, blant annet hva slags type krav vi kan stille til sikring/beskyttelse av kritisk infrastruktur, sier Veire.

Ingen i Norge vet hva som skjuler seg i utstyr som er en del av kritisk infrastruktur i Norge.

- Generelt og uavhengig av Huawei og Telenor er det meste mulig rent teknisk i forbindelse med å legge inn bakdører og annet. Poenget er at det er svært vanskelig å vite om det faktisk blir gjort, og også svært vanskelig å finne ut. Det er ekstremt ressurskrevende å gå inn i maskinvare for å finne bakdører og ondsinnet virus. Hvis det er lagt inn ondsinnet programvare, er det lagt inn for ikke å bli funnet. Man må gå dypt inn i teknologien på kodenivå, selv da kan det være vanskelig.

- Nesten umulig

Patrick Bours er amanuensis på it-sikkerhet ved Høgskolen i Gjøvik. Han mener det er grunn til bekymring også i Norge. Før sikkerhetseksperten kom til Gjøvik jobbet han blant annet med å teste og undersøke utstyr i bruk av myndigheter i Nederland og hvor konfidensiell informasjon ble distribuert.

- I Nederland blir dette gjort fordi det er mulig å bygge inn ondsinnet kode, sier Bours.

- Jo mer ressurser motparten har, desto bedre vil de klare å gjemme ondsinnet kode og skjule sine spor.

Bours sier de kan ta stikkprøver. Men at det i programvare vil være nødvendig å gå gjennom millioner av kodelinjer for å være hundre prosent sikker.

- Det vi vet er at land prøver å lure andre land for informasjon. Det er derfor god grunn til å skjerme konfidensielle data, sier han og legger til:

- Ønsker noen å skjule noe, er det nesten umulig å finne ut. Av og til må vi bare stole på noen. Tillit til leverandøren blir nok viktigere fremover.

Sikkerhet