Hoe zou het nog zijn met Huawei? Het is nu zo’n twee jaar geleden dat het bedrijf zijn Belgisch centrum voor transparantie oprichtte. Een blik op de securitystrategie.

Bedoeling van Huawei’s Cybersecurity Transparency Center was om het vertrouwen terug te winnen na beschuldigingen rond spionage vanuit de Verenigde Staten. Het land trof maatregelen die onder meer betekenden dat de Chinese techgigant geen volledig uitgeruste Android-telefoons meer kon maken.

Alles open

Een van de oplossingen waar Huawei mee kwam was meer transparantie. De strategie van ‘transparantiecentra’ werd het bedrijf al voorgedaan door Kaspersky, de Russische beveiliger die ook wat lijdt onder geopolitieke problemen, en in Zürich de broncode van diens antivirusoplossingen laat inkijken. Huawei doet in Brussel iets gelijkaardigs. Het bedrijf opereert ondertussen wereldwijd zes van deze centra. Ook in China, Canada, Dubai, het Verenigd Koninkrijk en Bonn kan je hen bezoeken, maar het centrum in Brussel is het enige in Europa dat het bedrijf volledig zelf heeft opgezet. Dat betekent onder meer dat Huawei hier evenementen en informatiesessies organiseert voor klanten.

Maar u kan er dus ook de broncode van allerlei software komen analyseren. Die wordt in essentie gehost in het hoofdkwartier in Shenzhen, en via VPN naar de speciale kamers in Brussel gestreamd. “Alleen in Brussel en Shenzhen hebben klanten zelf toegang tot de broncode”, zegt Yoann Klein, senior cyber security advisor bij Huawei. “In andere landen doen we productanalyse. In het Verenigd Koninkrijk kan de overheid bijvoorbeeld personeel afvaardigen om naar de producten te komen kijken. Bij ons in Brussel kan de klant zelf een afspraak maken.” Sinds de oprichting hebben zo’n tweeduizend mensen dat ook al gedaan. “Journalisten, maar ook klanten, academici, regulatoren enzovoort. Een deel daarvan hebben we het voorbije jaar ook virtueel ontvangen.”

Maar voor echte studie moet u zelf komen. “Gemiddeld zie je dan dat zo’n vier à vijf mensen hier een drietal weken de code komen bekijken. Mensen onderschatten soms een beetje wat er nodig is voor zo’n evaluatie.” Wat kan u zoal komen nakijken? De broncode van allerlei programma’s, van het besturingssysteem HarmonyOS, en de hogere lagen van besturingscomponenten in bijvoorbeeld routers en switches. Wie de hardware van een 5G base station wil onderzoeken, zal daarvoor naar China moeten gaan, of vertrouwen op een van de derde partijen die audits heeft uitgevoerd.

Checks and balances

Het is misschien te verwachten dat een bedrijf op een plek als deze ook erg de nadruk legt op de vele checks and balances die het bij ontwikkeling inbouwt. Dingen zoals audits van derde partijen, maar ook eigen businessprocessen. “Security is al sinds 2011 onze prioriteit. Het vormt de basis voor een hele reeks van onze systemen”, legt Klein uit. Hij geeft onder meer het voorbeeld van rekrutering, en de achtergrondchecks en training die daarin kruipen. “Verder hebben we ook een splitsing van taken in de ontwikkeling van code”, zegt hij. “De ontwikkelaar, degene die de code schrijft, gaat die nooit zelf verpakken en uitsturen maar die wordt eerst naar een tweede en derde persoon gestuurd om nagekeken te worden.” Een en ander moet er voor zorgen dat er geen – al dan niet bewuste – fouten in de code terechtkomen.

Belangrijke vraag dan: werkt die transparantiestrategie? Veel van de maatregelen aan overheidskant zijn nog waar ze twee jaar geleden waren. En de klanten? “De klanten hebben eigenlijk nooit hun vertrouwen in Huawei verloren”, stelt Klein. “Die werken al langer met ons, en als die naar hier komen is dat vooral om te zien wat we hen te tonen hebben. Ze willen naar de feiten kijken, zodat ze het zelf kunnen uitleggen aan hun eigen regulatoren, bijvoorbeeld. In die zin denk ik wel dat we erin slagen om het vertrouwen te krijgen.”