Text: Aras Nazarovas

Europeiska unionen har nyligen gett telekomoperatörer tre år på sig att riva ut utrustning från ”högrisk”-leverantörer. Men att ersätta kinesiska enheter med europeiska eller amerikanska alternativ löser inte problemet med bakdörrar. Det ändrar bara vems bakdörrar du litar på.

Huvudproblemet här är att regeringar och telekomoperatörer har byggt kritisk infrastruktur på system som ingen kan verifiera oberoende. Att byta ut en leverantörs förseglade hårdvara mot en annans kan handla mer om optik än om faktisk säkerhet.

Dolda rum i grunden

En router eller nätverksenhet kan ha säkerhetsbrister på flera nivåer, och de flesta är oavsiktliga, inte avsiktliga. Dessa sårbarheter kan gömma sig i den firmware som körs när utrustningen först slås på, i själva operativsystemet eller i hanteringsprogramvaran som körs ovanpå.

De kan vara enkla kodningsmisstag: en programmerare glömde att kräva ett lösenord, lämnade testkod i slutprodukten eller misslyckades med att uppdatera ett bibliotek med kända buggar.

Huruvida en brist introducerades genom slarvig ingenjörskonst eller avsiktlig sabotage spelar mindre roll än man skulle kunna tro. Hur som helst skapar det en väg in för angripare. Och eftersom den här koden sitter djupt i systemets grund (ofta i delar som sällan uppdateras) kan dessa svagheter förbli dolda i åratal.

Det är därför standard säkerhetsprogramvara inte alltid kan hitta dem, särskilt om dessa bakdörrar är avancerade och ordentligt dolda från standard säkerhetsåtgärder. Antivirus- och övervakningsverktyg kan bara se vad som händer på ytnivå, vilket är som att titta på en byggnads fönster utifrån.

Vi har sett detta många gånger. År 2025 avslöjade utredningar av den kinesiskkopplade ”Salt Typhoon” och relaterade kampanjer hur hackare lyckades smyga sig in i amerikanska och allierade telefonnätverk och i vissa fall missbruka de inbyggda avlyssningsverktygen som bara ska användas med en fullmakt.

Inte bara telekom

Det som gör EU-förslaget mycket viktigt är dess omfattning. Restriktionerna sträcker sig bortom 5G-nätverk till gränssäkerhetsskannrar, vattenreningssystem, elnät och medicintekniska produkter. Det här är system där en cyberattack till och med kan hota liv, till exempel genom att skjuta ner sjukhus, förorena vattenförsörjning eller mörklägga städer.

Det är värt att notera att att bara förbjuda kinesiska leverantörer inte garanterar att ersättningarna är mer transparenta eller säkra. Utan krav på oberoende säkerhetsrevisioner, öppen verifiering av kod och regelbunden tredjepartstestning kan europeiska och amerikanska leverantörer vara lika ogenomskinliga som de kinesiska som tas bort.

Vad annat borde hända

EU har en möjlighet här att göra mer än att byta leverantörer. De skulle kunna kräva att alla leverantörer, oavsett nationalitet, uppfyller verifierbara säkerhetsstandarder. Detta inkluderar att öppna sin kod för oberoende granskning, genomgå regelbundna säkerhetstester och upprätthålla transparenta processer för rapportering och åtgärdande av sårbarheter.

Den rätta frågan är inte vilket lands utrustning de köper istället. Det är om någon faktiskt kan titta inuti den för att verifiera att den är säker – eller om vi bara byter en uppsättning svarta lådor mot en annan.

OM ARAS NAZAROVAS

Aras Nazarovas är senior informationssäkerhetsforskare på Cybernews, en forskningsdriven onlinepublikation. Aras är specialiserad på cybersäkerhet och hotanalys. Han undersöker onlinetjänster, skadliga kampanjer och hårdvarusäkerhet samtidigt som han sammanställer data om de vanligaste cybersäkerhetshoten. Aras har tillsammans med Cybernews forskarteam avslöjat betydande integritets- och säkerhetsproblem online som påverkar organisationer och plattformar som NASA, Google Play, App Store och PayPal. Cybernews forskarteam genomför över 7 000 undersökningar och publicerar mer än 600 studier årligen, vilket hjälper konsumenter och företag att bättre förstå och minska datasäkerhetsrisker.

BIld: sulox32