Bert Hubert
Outsourcing: het echte probleem met 5G
Regeringen buigen zich over het al dan niet toelaten van Huawei en ZTE, maar in praktijk maakt dat weinig uit. Het probleem zit bij de massale outsourcing naar partners, waardoor operatoren de controle al lang verloren zijn, stelt Bert Hubert.
Bert Hubert is software ontwikkelaar en oprichter van PowerDNS, een dochterbedrijf van Open-Xchange. Vanuit die expertise weet hij hoe Europese telecomnetwerken in de praktijk draaien. Hij werkte voorheen ook voor een nationale veiligheidsdienst.
Telecommunicatie laat de wereld draaien en naarmate we meer naar de cloud gaan, zou een inperking ervan onze economie en veiligheid zwaar beïnvloeden. Vanuit dat standpunt is het logisch dat we goed nadenken over cruciale diensten voor onze maatschappij.
In het kort gaat het er vandaag over of Europese telecombedrijven apparatuur mogen aankopen van Huawei. De zelden expliciet uitgesproken zorg daarbij is dat Chinese bedrijven onder invloed staan, en soms direct of indirect eigendom zijn, van hun overheid of de politieke partij die het land bestuurt. Dat maakt dat apparatuur van Huawei mogelijk slecht voor ons is.
De theorie is dat onze telecominfrastructuur op die manier kan bespioneerd worden door China, of dat ze kan worden stilgelegd bij een conflict met China of een van zijn bondgenoten. Minder urgent is de invloed die dat heeft op onze ‘digitale soevereiniteit’: als we al onze apparatuur uit een ver land halen, kunnen we op termijn niet langer een communicatie-infrastructuur opzetten zonder Chinese hulp.
Die drie zorgen, spionage, beschikbaarheid en soeveriniteit/autonomie, spelen mee in “de 5G-beslissing”.
We zijn al lang de controle over onze infrastructuur verloren
Eén Europese overheid probeerde enkele jaren geleden een landelijk communicatienetwerk voor noodgevallen op te zetten. Het lukte niet omdat de vendors enkel diensten via de cloud aanboden. Geen enkele vendor kon zo een volledig onafhankelijk netwerk aanbieden.
Wat ik met deze tekst wil aangeven is dat de grens al lang is overschreden en dat we met kritische blik moeten kijken naar het aankopen van nog meer telecominfrastructuur en services van mogelijk geopolitieke vijanden.
We zouden net hard moeten werken om controle over onze huidige communicatieinfrastructuur te krijgen, iets wat we al lang zijn verloren. Laat me daarbij opmerken dat veel argumenten rond China evenzeer van toepassing zijn op de VS, zoals dit artikel in de Financial Times aanhaalde:
Om het ijs te breken vroegen we aan telecomoperatoren of ze dachten dat de Chinezen konden afluisteren via ‘achterpoortjes’ in materiaal van Huawei. Elke hand ging omhoog. Maar dan werd voor de balans gevraagd wie dacht dat de VS toegang had tot hun communicatie via Cisco-apparatuur. Ook daar ging elke hand snel omhoog.
Het veronderstelde provider security model
In de 5G-discussie is de veronderstelling dat nationale, grootschalige telecom serviceproviders vandaag een goede (of volledige) controle hebben van hun netwerken. Het idee is dat die providers (zoals Vodafone, Deutsche Telekom, Proximus, Orange, Telefonica, KPN enz…) materiaal bestellen dat vervolgens door de aanbieder wordt verscheept.
De werknemers van de telecomoperator worden dan opgeleid om met die apparatuur te werken, ze uit te pakken, testen, configureren en gebruiken om nieuwe netwerken op te zetten. Nadien zullen andere werknemers van die operator het netwerk uitbaten en monitoren.
Als die apparatuur zich vreemd gedraagt, bijvoorbeeld door data naar externe servers te sturen, dan kunnen de medewerkers van de telecomspeler dat opmerken en onderzoeken. Ook als er software upgrades komen, dan worden die eerst getest om te kijken of daar niets fouts in zit vooraleer ze worden geïnstalleerd op het eigenlijke netwerk.
Zeer privacygevoelige delen, zoals de details van gemaakte gesprekken, kunnen dan binnen die dienst worden gebruikt om facturen op te stellen of klantenproblemen op te lossen. Ook als de overheid aanklopt met een verzoek, kan de nodige data uit die lokaal beheerde systemen worden gehaald bij een operator die volledige controle heeft. Dat is allemaal omdat de provider een ervaren staff heeft met veel telecomexpertise.
Overheden geloven eveneens in dit model en vereisen dat sleutelfiguren binnen nationale serviceproviders bepaalde veiligheidsmachtigingen hebben, zodat politie en inlichtingendiensten vragen kunnen stellen die niet uitlekken naar derde partijen.
In dit model wordt de 5G-discussie geframed als een situatie waar het kiezen van de verkeerde vendor het model van goede en lokale controle verstoort. Plots zouden er dingen veranderen…
De realiteit
In praktijk werken de meeste serviceproviders al decennia niet meer op deze manier. Gedreven door kwartaalresultaten en consultants worden ze aangemoedigd om alles te outsourcen wat geoutsourced kan worden.
Het eindeloos outsourcen betekent dat ook de meeste lokale expertise het bedrijf heeft verlaten, al dan niet op eigen initiatief.
Bij moderne telecomproviders wordt nieuwe apparatuur uitgerold, geconfigureerd, onderhouden en vaak zelfs gefinancierd door de vendor. Laat dat even bezinken: Huawei (en hun dichte partners) beheren vandaag al de mobiele infrastructuur voor meer dan honderd miljoen Europese gebruikers.
De operator die de dienst aanbiedt heeft vaak geen gedetailleerd inzicht in wat er gaande is, en zou er moeite mee hebben om dat uit te vissen met behulp van het resterende personeel. Het eindeloos outsourcen betekent dat ook de meeste lokale expertise het bedrijf heeft verlaten, al dan niet op eigen initiatief.
We hebben met ons bedrijf zelf grote Europese serviceproviders gevraagd waarom slechts een deel van hun klanten IPv6 service kregen en hoe ze kiezen welke sectoren die service ter beschikking hebben. Ze konden het ons niet zeggen en gaven zelfs aan dat ze het zelf graag zouden willen weten.
Al zeker sinds de jaren 2000 wordt facturering uitbesteed. Alle Call Detail Records (CDR’s) gaan naar een derde partij, vaak in Israël of China. Zo’n CDR houdt bij wie naar wie belt en hoe lang, met mogelijk nog meer data zoals de locatie van de klant en of die in het buitenland zit enz…
CDR’s zijn krachtige metadata die vaak wordt gebruikt in criminele en inlichtingenonderzoeken. Gecombineerd met informatie over de zendmasten of coördinaten vormen ze een virtueel spoor naar de activiteiten van een klant.
Wholesale outsourcing
Bij een doorsnee grote serviceprovider worden mobiele en/of vaste netwerken bediend door de vendor en niet door de provider zelf. De vendor heeft nog wel technische input nodig rond wat er moet gebeuren, waardoor de service provider nog steeds een IT-staff nodig heeft.
Maar ook hier is met de tijd aardig in uitbesteed. Bij één grote mobiele provider verloopt het kanaal als volgt: de IT is uitbesteed aan Tech Mahindra, Tech Mahindra stuurt op zijn beurt Ericsson aan en Ericsson stuurt het netwerk aan.
Maar ook Ericsson en andere leveranciers hebben op hun beurt verschillende taken uitbesteed naar verschillende landen waar de lonen doorgaans lager liggen.
In een ander voorbeeld heeft een grote Nederlandse provider het merendeel van hun technische staff overgedragen aan Huawei. De helft van hun nieuwe hoofdkwartier staat sindsdien leeg. De andere helft zijn IT architects, die niet verder komen dan een Excel sheet of een diagram in Visio als het gaat om netwerkactiviteiten.
Samengevat: het idee dat telecomproviders autonoom zijn en de privacy van hun klanten kunnen garanderen is zeer twijfelachtig.
Tegelijk vergeten we bij het idee van mogelijke verstoring door ‘de Chinezen’ via achterpoortjes, dat het voor hen volstaat om te stoppen met onze netwerken te onderhouden!
Security en veiligheid door service level agreements
Service providers beseffen welke risico’s ze hanteren. Zulke risico’s staan ook vermeld in contracten en service level agreements. In die redenering zullen Chinese bedrijven onze communicatie niet verstoren omdat het contract stelt dat dit niet zal gebeuren.
Gelijkaardig beloven vendors dat ze de data waar ze toegang tot hebben enkel zullen gebruiken voor de daarvoor omschreven doeleinden. Of anders gezegd: buitenlandse inlichtingendiensten krijgen geen inzage tot onze belgegevens omdat het contract het zo zegt.
Het gemak van ‘security by contract’ maakt dat we maar al te vaak willen geloven dat het mogelijk is om onze diepste geheimen naar het buitenland te sturen zonder dat onze veiligheid in het gedrang komt.
Maar iedereen met maar een beetje kennis of ervaring in nationale veiligheid, weet dat zo’n overeenkomsten niets waard zijn. Zowel in China, de VS als in de meeste Europese landen stelt de wet dat een overheidsbevel boven eender welke contractuele privacyverbintenis tussen klant en leverancier staat.
Het gemak van ‘security by contract’ maakt dat we maar al te vaak willen geloven dat het mogelijk is om onze diepste geheimen naar het buitenland te sturen zonder dat onze veiligheid in het gedrang komt.
Het securitydepartement
Alle serviceproviders hebben een securityafdeling. Ik ken mensen die er werken en ik voel hun strijd. In het artikel van de Financial Times dat ik hierboven vermeldde kan je het volgende lezen:
“We vertrouwen niemand, of ze nu in China of de VS zitten, en geen enkele operator zou dat horen te doen,” zegt Scott Petty, chief technology officer bij Vodafone UK. “Onze job is om onze klanten te beschermen.”
En dan is het aan het beveiligingsteam om die claim waar te maken. Maar in alle securitydepartementen die ik zelf ken, worstelen ze er mee om hun aanbevelingen geïmplementeerd te krijgen. Zeker als die aanbevelingen knagen aan de winst of omzet, of de go-to-market vertragen.
Het volstaat niet om een securitydepartement te hebben met goede bedoelingen.
Een grote provider heeft daarbij de vrij unieke stap genomen om haar eigen securityafdeling min of meer te verkopen, waardoor het nog makkelijker is om hun eisen te negeren. Een andere provider is haar CISO verloren na een gênante confrontatie met het topmanagement. Maanden later hebben ze nog steeds geen nieuwe aangenomen.
De realiteit is dat om niet op externe spelers te moeten vertrouwen, van waar ze ook komen, het hele bedrijf betere skills moet krijgen en zelf controle moet hebben over het netwerk en de werking ervan. Het volstaat niet om een securitydepartement te hebben met goede bedoelingen.
Huawei, Nokia, Ericsson?
Wat minder wordt besproken in het nieuws is dat de keuze tussen Ericsson, Nokia en Huawei minder eenvoudig is als vaak wordt aangenomen.
Als Europa, of ‘het westen’, autonome communicatiecapaciteiten wil behouden, dan zou het zeker helpen om regelmatig een Europese vendor te kiezen.
Maar als communicatieserviceproviders controle willen over hun netwerken, dan gaat het outsourcen van hun operaties naar derden, zeker wanneer hun personeel ver weg zit, daar niet veel goeds aan doen.
Daarbij moeten we opmerken dat ook cruciale softwareonderdelen van Ericsson blijkbaar worden ontwikkeld in China, wat dan weer andere bezorgdheden meebrengt.
Alle grote outsourcingbedrijven zijn al gecompromitteerd geweest. Het is fundamenteel zeer moeilijk om goedkope dienstverlening, ver weg van de klant, op een veilige manier te doen.
Een netwerk veilig beheren betekent dat je veel mensen lokaal moet tewerkstellen en met hen een relatie moet opbouwen zodat de service provider een robuuste cultuur en kennisstructuur kan opbouwen die de controle over het communicatienetwerk kan behouden.
Hoe zijn we hier beland?
Als we Europese telecombedrijven vergelijken, dan zijn er nog enkelen, vooral in de UK, die veel van hun operaties binnenshuis uitvoeren, zonder grootschalige outsourcing.
Ter vergelijking: de meeste Amerikaanse serviceproviders slagen er wel in om veel meer expertise te behouden en kunnen daardoor hun netwerken veel onafhankelijker uitbaten ten opzichte van hun leveranciers. Anderzijds moet ook gezegd worden dat Amerikaanse providers minder vaak data zullen lekken, maar ze compenseren dat door die gegevens gewoonweg te verkopen.
Maar Europese serviceproviders hebben, naast het kostenplaatje, nog andere redenen om te outsourcen: we hebben traditioneel (telecom)engineering te weinig gewaardeerd. De bedrijven in kwestie hadden meer lof voor hun marketing- en finance-afdeling.
Bij één provider ging het zelfs zo ver dat er bij een personeelsbijeenkomst met de technische staff werd verteld dat ‘het draaiende houden van een communicatienetwerk’ in geen geval een kerncompetentie was voor hen.
Wie wil er werken voor een bedrijf dat jouw taken wil uitbesteden aan de goedkoopste kandidaat?
Met zo’n verklaringen wordt je als telecomspeler geen aantrekkelijke plaats voor technisch talent. Naast het gebrek aan waarderling is er ook een opmerkelijk gebrek aan voldoende verloning.
Service providers wijten hun problemen om talent te vinden vaak aan de slechte omstandigheden op de arbeidsmarkt waarvoor outsourcing de oplossing kan zijn. Tegelijk versnellen ze de leegloop, want wie wil er werken voor een bedrijf dat jouw taken wil uitbesteden aan de goedkoopste kandidaat?
Een voorbeeld daarvan is een Europees netwerk met 15 miljoen klanten dat nu draait op een team van 4 mensen, waaronder één manager, om alle adressing en numbering services te voorzien. Na jaren van proberen om dat te doen slagen, worden die vier nu ook uitbesteed.
Wat nu?
Het is duidelijk wat er moet gebeuren. Providers moeten in eerste instantie en ten alle kosten zelf de technische capaciteiten in huis halen. Misschien door wat minder tv-spotjes, misschien door wat minder te willen concurreren met Netflix.
Technische expertise is de eerste verdedigingslinie tegen malafide vendors die willen spioneren en destabiliseren
Geld kan gevonden worden en daarmee kunnen ze zich herorganiseren om technisch talent naar waarde te schatten, te behouden, middelen te geven en zelfs nieuw talent aan te trekken.
Technische expertise is de eerste verdedigingslinie tegen malafide vendors die willen spioneren en destabiliseren. Sterke lokale kennis over telecom helpt de toekomstige autonomie te verzekeren.
Met voldoende lokale capaciteiten is een provider niet verplicht om haar volledig netwerk in handen van één enkele leverancier te leggen. Het stelt hen in staat om best of breed oplossingen samen te stellen, waar een leverancier zich wel moet gedragen, of hij riskeert te worden vervangen door een andere.
Open source?
Open source wordt vaak genoemd als een transparante oplossing. Mijn bedrijf en haar moederbedrijf steunen grotendeels op open source dus het ligt voor de hand dat ik zelf van mening ben dat dat een rol kan spelen.
Open source is enkel transparant voor de mensen met de juiste skills.
Maar open source is enkel transparant voor de mensen met de juiste skills. Het is niet genoeg om je netwerk op open source technologie te baseren, als dat niet gepaard gaat met werknemers die problemen kunnen detecteren en oplossen.
Nieuwe leveranciers?
De belangrijkste spelers in het (mobiele) telecomlandschap zijn Huawei, Ericsson en Nokia. Door beperkte skills worden operatoren gedwongen om geïntegreerde oplossingen te kopen, vaak van één leverancier. Er zijn te weinig capaciteiten in huis om oplossingen van verschillende leveranciers, die onderling concurreren, te integreren.
Dat betekent dat het lastig is voor nieuwe spelers om in de 5G-markt relevant te worden. Je moet tevoorschijn komen met alles tegelijk, of klanten kunnen je technologie niet integreren, ongeacht of die technologie goed is of niet.
In de VS gaan er momenteel stemmen op om een miljard dollar te investeren in onderzoek om kleinere spelers naar ernstige 5G-leveranciers te laten evolueren. Wie weet beslist Europa ook wel dat een degelijk functionerend communicatie-ecosysteem in haar beste belang is.
Automatisering
Doorsnee service providers hebben honderdduizenden netwerkelementen. Het zal je misschien verrassen maar velen van hen worden vandaag manueel onderhouden. Dat is een werk van duizenden netwerkingenieurs om een infrastructuur vlot te laten draaien.
Intussen hebben de grootschalige internetbedrijven zoals Google, Netflix en Facebook hun onderhoud zo veel mogelijk geautomatiseerd. In deze context betekent automatisering dat configuraties niet langer manueel gebeuren, maar dat hele netwerken geprovisioneerd en geconfigureerd worden vanaf centrale templates.
Met zo’n automatisering kunnen kleine teams uitgebreide netwerken met relatief gemak beheren. Zeker als ze continue integratie en real life testing goed benutten.
Op zo’n manier is slimme automatisering een goed alternatief voor grootschalige outsourcing. Of anders gezegd: het laat toe om onderhoud te insourcen zonder dat je duizenden mensen moet aannemen, die niet eens beschikbaar zijn op de arbeidsmarkt.
Samengevat
De meeste telecom service providers hebben vandaag geen degelijke controle over hun netwerk. Door eindeloze outsourcing zijn ze enorm afhankelijk van netwerkleveranciers en derde partijen.
Voor Huawei kiezen verandert niet enorm veel, maar het is wel een verderzetting van het bestaande beleid voor veel operatoren.
Op dit moment voor Huawei kiezen verandert niet enorm veel, maar het is wel een verderzetting van het bestaande beleid voor veel operatoren.
Als we echt bezorgd zijn om onze privacy en de stabiliteit van onze communicatienetwerken, en als we op lange termijn kijken dan moeten ze zo’n netwerken autonoom kunnen bouwen. Het is vandaag veel belangrijker dat Europese providers opnieuw die capaciteiten hebben.
Dat doen vraagt middelen, zodat ontwikkelaarsafdelingen opnieuw slagkrachtig worden en geen kanonnenvoer zijn voor outsourcing. Zo’n getrainde werknemers zijn een krachtige verdedigingslinie tegen slechte leveranciers.
Die technische skills opnieuw opbouwen maakt het mogelijk om netwerken met meerdere leveranciers op te bouwen, waar alle leveranciers het risico lopen om te worden vervangen als er zich problemen voordoen. Het schept ook ruimte voor kleinere spelers om de markt te betreden.
Daar komt nog bij dat met de hulp van open source en geavanceerde automatisering het mogelijk is om het netwerk te beheren zonder nood aan duizenden mensen, die niet eens beschikbaar zijn op de jobmarkt.
Maar bovenal: de discussie moet niet gaan over de keuze voor of tegen Huawei. Het moet gaan over hoe we onze vitale communicatieinfrastructuur controleren. Eén specifieke leverancier wel of niet kiezen zal daar weinig aan veranderen.
Deze opinie verscheen oorspronkelijk op de persoonlijke pagina van Bert Hubert en is met zijn toestemming vertaald en doorgeplaatst op Datanews.be
Fout opgemerkt of meer nieuws? Meld het hier