De Chinese ‘spionagewet’ die techbedrijven dwingt kwetsbaarheden aan te geven

Sinds 2021 verplicht een Chinese wet alle techbedrijven die er actief zijn kwetsbaarheden aan te geven bij de overheidsinstanties. Een recent rapport van de Atlantic Council toont aan dat dat een probleem vormt: die instanties worden gelinkt aan spionagecampagnes en cyberaanvallen.

Voorheen maakte China gebruik van de CNVD, de China National Vulnerability Database, die in het leven was geroepen om kwetsbaarheden in softwaretoepassingen te rapporteren. Zo’n databank moet landen behoeden voor cyberaanvallen – ook in de cyberwereld is voorkomen beter dan genezen. Ook de Amerikanen hebben een dergelijk systeem. Hoe gaat dat in zijn werk? De databank steunt volledig op het vrijwillig aangeven van kwetsbaarheden en bugs in softwaresystemen. Het lijstje wordt aangevuld door individuen of technologiebedrijven zelf. Alleen blijkt dat niet voldoende voor de Chinese overheid, in het bijzonder niet voor het ministerie voor Staatsveiligheid, en er werd een stap verder gegaan. Volgens het rapport van de Atlantic Council een stap té ver, zo blijkt nu.

48 uur

Twee etmalen oftewel 48 uur, dat is hoelang elk technologiebedrijf heeft om de ‘achterpoortjes’ of bugs in hun software aan te geven nadat ze ontdekt worden. De wet uit 2021 verplicht de techbedrijven dat te doen via een online platform van het Chinese ministerie voor Industrie en Informatietechnologie. Dat ministerie voegt die hackbare bugs op zijn beurt toe aan een van de nieuwe databases: het Cybersecurity Threat Intelligence Sharing Platform.

Alleen draagt die database mogelijk bij aan de agressieve hackingstrategie van China. Het onderzoek van de Atlantic Council toont aan dat de gegevens ook verspreid worden naar andere overheidsinstanties. Overheidsinstanties die erom bekend staan zulke zwakke plekken juist te gaan benutten en uitbuiten. In andere woorden: hacken. En één van die instanties is een bureau van het ministerie van Staatsveiligheid in Peking. Zij zouden in het verleden al verantwoordelijk geweest zijn voor verschillende spionagecampagnes en cyberaanvallen.

Twee jaar later wijst vrijwel alles erop dat de Chinese overheidsinstantie de informatie verzamelt met het oog op het uitbuiten van de bugs of kwetsbaarheden. Naast het rapporteren van de bugs, vereist de wet ook dat bedrijven onder andere de naam, het model en de versie van de producten die kwetsbaarheden bevatten registreren. De Atlantic Council kon tijdens zijn onderzoek het online portaal, waar de bugs gerapporteerd worden, inkijken. Daar zagen de onderzoekers een verplicht invulveld: producenten moéten details over de fouten in de broncode voorzien of een video toevoegen die gedetailleerd demonstreert hoe en waar de bug zich bevindt.

Atlantic Council

De Atlantic Council is een denktank die zich vooral bezighoudt met onderzoek naar leiderschap en internationale betrekkingen, en aanbevelingen formuleert aan hun naar eigen zeggen groot netwerk van wereldleiders. Dakota Cary is onderzoeker bij de Global China Hub van de Atlantic Council, een in China gespecialiseerde afdeling. Aan Wired vertelt Cary dat zodra de wet aangekondigd werd, het duidelijk was dat deze een probleem zou vormen. Cary: ‘Nu hebben we kunnen aantonen dat er echt overlap bestaat tussen de mensen die deze rapportage beheren en de mensen die offensieve hackoperaties uitvoeren’.

De Atlantic Council nuanceert zijn bevindingen wel: zullen alle technologiebedrijven de ‘spionagewet’ in China even nauwkeurig volgen? Nee, waarschijnlijk niet. Alleen weten sommige bedrijven soms ook gewoonweg niet wat hun plaatselijke leidinggevende aan de overheidsinstanties doorspeelt. ‘Ze horen er alleen iets van als hun bedrijf zich niet aan de regels houdt’, aldus Cary in Wired.

Het rapport van de Atlantic Council zal ongetwijfeld ook invloed hebben op de internationale betrekkingen tussen China en het Westen. Eerder dit jaar hackte een Chinese groep al eens e-mailadressen bij verschillende West-Europese overheden. Ook de VS houdt Chinese technologie nauw in het oog uit angst voor cyberaanvallen. Het is dus maar de vraag wat de impact van dit rapport in de toekomst zal zijn.

In samenwerking met Data News