Hvem er du mest bange for? USA, Kina eller dig selv?
BAGGRUND: Alle dine data er i omløb. Lækkes de, og kan naboen læse med? Hvad med mobilnettet? Tappes det af regeringer og regimer?
Emnet ”Cyber Security” er et varmt emne i teknologibranchen. Ikke bare på gulvet. Også direktionsgangene har sikkerhed på dagsordenen. Årsagen er åbenlys. Mere og mere privat information finder vej til særligt vores smartphones. Enorme datamængder transmitteres via mobil- samt internet, og nødvendigheden for beskyttelsen af privatlivet er åbenlys.
I sikkerhedssammenhæng er det ofte kinesiske firmaer, der bliver anklaget for ikke at have styr på sikkerheden. Spørgsmålet er, om det er faktuelt rigtigt eller blot en myte?
Jeg har besøgt en af Huawei’s produktionsfaciliteter en times kørsel fra Shenzhen. På blot 35 år er byen vokset fra en stille fisker- og landbrugsby, i det sydlige Kina på grænsen til Hong Kong, til verdens absolutte navle inden for produktion af alle de elektronikprodukter vi benytter i dagligdagen.
Sikkerheden gennemsyrer hele det enorme anlæg, der for dette ene spreder sig over 710.000 kvm med 10.000 ansatte. Adgangskontrol til området, fabrikken og produktionshallen sikrer mod ubudne gæster. Fotografering er strengt forbudt, og gæster må ikke medbringe fotoudstyr eller smartphones til produktionslinjerne.
Fotografering er en rød linje som medarbejderen på fabrikken ikke må krydse. Eventuelle brud på denne regel medfører øjeblikkelig fyring, bortvisning og retsforfølgelse. Fabrikken, som jeg besøgte, har ikke haft læks, og sikkerheden i produkterne har aldrig været kompromitteret, oplyste Huawei ved det efterfølgende interview.
Hellere kontrol end tillid
Rundvisningen blev forestået af Xue Yongbo, der er Cheif Supply Chain Officer. På rundturen fortalte han om Huawei’s sikkerhedsprocedurer, der er temmelig omfattende. Blandt andet tages der stikprøver af de printplader, som udgør hovedprintet i enhederne, der i dette tilfælde var sendeudstyr til basestationer ved mobilmaster.
Ved at skære printpladerne fra underleverandøren igennem, kan det analyseres, om der er pillet ved både de synlige og usynlige printbaner, eller indlagt andre som ikke er bestilt.
System- og hukommelseschips testes i et flere timer langt forløb for at finde eventuelle fejl, og efterfølgende bliver stikprøver af chips blandt andet røntgenfotograferet, så eventuelle uautoriserede ændringer af chippen kan spores. Hertil kommer flere andre kontrolpunkter.
VIDSTE DU: MereMobil.dk udgiver et teknologiprogram som podcast. Få spændende techhistorier direkte i ørerne. Lyt via web, Android eller Apple Podcast.
Tæt overvågning af chipsoftware
Softwaren til hovedchippen hentes til hver chip fra et internt netværk, som er afskåret fra virksomhedens andre netværk samt internettet.
Systemsoftwaren downloades hver gang, og slettes så snart den er indlæst på chippen, så der ikke ligger software og roder lokalt. Området hvor dette arbejde foregår, er stærkt kameraovervåget, og alt på systemet logges.
Samlingsprocessen er automatiseret og montering af komponenter udføres af robotter. Kun ganske få gange kommer hovedprintet i menneskelig kontakt, og til slut i processen gennemtester et særligt system boardets funktionalitet og scanner for unøjagtigheder og fejl.
Når et basestationskomponent kommer ud til mobiloperatøren er kommunikationsporte deaktiverede, og kun autoriseret personale hos operatøren kan åbne for adgang til dem.
Fjernovervågning af eksterne faciliteter
Huawei har produktionsanlæg i Ukraine, Brasilien og San Diego, USA.
Fra en kontrolcentral på hovedfabrikken ved Shenzhen overvåges produktionen i de andre lande på statistikplan. Det kan spores hvis der pludselig er unødige ophold i produktionen, hvorefter værkføreren bliver bedt om en forklaring via et konferencekald.
Produktionsstop overvåges så en fabrik ikke pludselig står stille, og der dermed bliver tid til at foretage ændringer på print, komponenter m.v. Også her hentes softwaren til systemchips fra et lukket netværk, og ligger ikke på lokale computere.
Fabrikkerne uden for Kina kameraovervåges ikke, så operationscenteret i Shenzhen kan følge med, men værkføreren på stedet kan anmode om videokonference med centeret i Kina.
Regler for sikkerhed mangler
På verdensplan er der ingen internationale regler for hvordan sikkerhedsproblematikker skal håndteres på fabrikker eller i produkter. Der er heller ikke fælles standarder for hvordan sikkerheden i softwaren skal håndteres eller hvilke retningslinjer de skal overholde. Alt dette er op til producenten og dennes kunder samt naturligvis regulativerne i de enkelte lande.
I USA har nogle af de lækkede Snowden-dokumenter tidligere afsløret, at NSA (National Security Agency under den amerikanske efterretningstjeneste) hemmeligt har fået adgang til tapning af datacentre hos Yahoo og Google. Der blev også i marts 2014 arbejdet på opsætning af en falsk Facebook server, til at opfange forbindelser. Millioner af computere skulle i denne sammenhæng inficeres med en malware kaldt ”Turbine”.
Huawei er en aktiv deltager i internationalt arbejde omkring Cyber Sikkerhed, men indtil videre er resultaterne omkring fælles retningslinjer producenterne imellem ikke kommet særligt langt.
Lytter kineserne med?
Direkte adspurgt om Huawei produkter giver adgang til, at det kinesiske styre, eller efterretningsvæsen, kan trække data fra kunderne, svarer Xue Yongbo, Cheif Supply Chain Officer, med et tydeligt nej – og at de eller ikke vil efterkomme sådanne anmodninger. Spørgsmålet er et spøgelse der ikke vil gå væk, og det hænger over alle de kinesiske producenter, og Xue Yongbo så da heller ikke videre tilfreds ud, da jeg stillede ham spørgsmålet.
De selvsamme personer, som har bekymring om kinesisk overvågning, lader ikke til at bekymre sig om den mulige påstående adgang til data hos Yahoo, Google eller måske inficering af Facebook fra den amerikanske sikkerhedstjenestes side.
Edward Snowden har dokumenteret, at NSA har adgang (eller haft) til data i USA, og den manglede amerikanske sikkerhed omkring persondata blev her tydeligt blotlagt. Så vidt vides har der ikke kunne dokumenteres tilsvarende sikkerhedsbrister omkring kinesiske virksomheder.
Facebook og Google sender data til USA
Heller ikke ret mange sover uroligt om natten, selvom de har viden om, at firmaer som Google og Facebook rutinemæssigt flytter brugernes data i de 28 EU-medlemslande til servere i USA.
Faktisk må der ifølge persondataloven ikke overføres persondata til et land, som er udenfor EØS-landene (omtales også som tredjelande), hvis det modtagne land ikke har et tilstrækkeligt beskyttelsesniveau for behandling af persondata.
Selvom USA i den sammenhæng ikke anses som et land med tilstrækkelig beskyttelse af data, har der siden år 2000 været indgået en aftale mellem EU og USA – kendt som Safe Harbor ordningen. Her har amerikanske virksomheder kunne certificeres og sikkerhedsgodkendes, hvorefter dataflytningen efterfølgende har fundet sted.
Fornyligt blev Safe Harbor ordningen kendt ugyldig af EU, hvilket kan tvinge amerikanske selskaber til, at opbygge mere infrastruktur på europæisk landjord. Spørgsmålet er, hvordan man vil tjekke om persondata alligevel bevæger sig på tværs af lande og områder.
– Eksternt link: Safe Harbor – vidtrækkende EU-dom
Du er din egen værste fjende
Uanset hvor mange tiltag producenter af netværk, smartphones og andet udstyr gør, for at sikre enhederne, så ændrer det ikke på forbrugernes skødesløse og lemfældige tilgang til sikkerhed på deres eget udstyr.
De fleste vil svare, at de er bange for at miste deres billeder hvis telefonen blev væk, men min påstand er, at kun ganske få tænker over hvilken risiko det er for ens digitale sikkerhed, når telefonen ligger med åben adgang til mails, beskeder, sociale medier og cloudtjenester. Og det kan undre, at kun halvdelen af danskerne har beskyttet deres udstyr med en adgangskode eller anden form for lås.
Dokumentaren ”Når mobilen tager magten” på TV 2 har påvist, hvor let det er for app-udviklere, at skaffe sig adgang til data på vores smartphones. En specialprogrammeret lommelygte-app hentede alt fra beskeder til billeder og position ud fra telefonerne, uden brugerens viden. Desuden kunne kameraet og mikrofonen tændes, så telefonen forvandlede sig til et reelt overvågnings-device. Udviklerne brugte de samme rettighedsindstillinger som blandt andet Facebook anvender. Intet af det programmet på TV 2 viste var ulovligt.
I dag accepterer alle, ved installationen af en applikation, de rettigheder og adgange udvikleren har ønsket, uden nærmere omtanke. Det sker fordi vi ikke har noget valg. Enten er det ”ja tak til alt” eller også må app’en undværes.
En smartphone eller tablet-bruger er altså sin egen værste fjende. Alle er udsat for overvågning og omfattende indsamling af data om privatlivet, og i risiko for, at en ”uskyldig” app tænder mikrofonen, og sender lyden til centrale servere hvor andre lytter med på vores private samtaler.
– Podcast: Billige smartphones kan udgøre en sikkerhedsrisiko
Hvem frygter du mest?
Der er ingen tvivl om, at der er brug for fælles retningslinjer for, hvad en app må få adgang til, og om det kan ske uden brugerens viden. Desuden er der brug for oplysningskampagner der rammer bredt, for brugerne er fuldkommen ligeglade med sporadiske artikler om sikkerheds-emnet.
Denne artikel du læser netop nu bliver sandsynligvis ikke læst af ret mange, da mange synes emnet sikkerhed er lige så uinteressant at diskutere, som at se på græs der gror. Men til dig der er med endnu, så lad mig spørge:
Hvem er du mest nervøs overfor?
Googles massive indsamling af data om vores liv, og deres læsning (scanning) af selv mails, så der kan placeres tilpassede reklamer i Gmail?
Facebook, som har adgang til at hente alt hvad de lyster fra din telefon, og endda aktivere mikrofon og kamera uden du ved det?
Apple der også har tilsvarende har adgange, og eventuelle bagdøre hvor amerikanske sikkerhedsmyndigheder kan hente data ud fra?
Netværksproducenter som Huawei, Ericsson og Nokia Siemens der forbinder alle vores enheder med hinanden i centrale netværk, og hvor ingen af dem, nogensinde, er blevet snuppet i at lække informationer til myndigheder i forskellige lande?
Mange baserer deres frygt på uvidenhed og fordomme. Adgangen til mobilen gives frivilligt til alt fra Google til apps der eksempelvis påstår at forbedre batteriforbruget. Vi hopper lige i fælden og siger gladelig ”ja tak”.
Der er en risiko ved alting, og som verden er lige nu, skal vi give køb på vores personlige data før vores smartphone er rigtig smart.
Tilbage ved samlelinjerne i udkanten af millionbyen Shenzhen gøres en stadigt stigende indsats for at undgå kompromittering af udstyr og kommunikation, alt imens vi gladeligt sender vores digitale liv i hænderne på private virksomheder og uafhængige app-udviklere på gaden uden nogen form for sikkerhed for, at vores private fotos, samtaler og kommunikation ikke pludselig enheder på en kæmpe verdensomspændende ”Wiki-leaks”-tilsvarende side, hvor vi kan snage i naboens liv.
Synes du denne artikel var interessant? Tilmeld dig vores nyhedsbrev og få hver uge de bedste artikler, så du altid er opdateret. Ved tilmeldingen får du med det samme 10 af vores bedste guides og tips tilsendt.
Mere til historien
Producenterne af smartphones skal også holde styresystemet sikkerhedsopdateret. Seneste har Google og Samsung meldt ud, at de vil udsende månedlige sikkerhedsopdateringer. HTC mener i den sammenhæng ikke at en sikkerhedsopdatering hver måned er realistisk.