Tolletatens grense-skannere: Canada avdekket sårbarheter for kinesisk spionasje

Canadas utenriksdepartement stanset kjøp av kinesiske skannere – som brukes på Norges grenser – etter en trusselvurdering. Canadas tollvesen gransket også sitt utstyr sammen med kanadisk etterretning.

SVINESUND-SKANNER: Den kinesiske teknologien som brukes til å gjennomlyse blant annet lastebiler på Svinesund tollstasjon er svartelistet av USA for å true nasjonal sikkerhet.
Publisert: Publisert:

Forrige uke skrev E24 om at Tolletaten bruker skannere fra det kinesiske teknologiselskapet Nuctech på Norges grenser. Forsvaret planla å kjøpe Nuctech-skannere i fjor, men stanset innkjøpet etter sikkerhetsvurderinger.

USA har svartelistet Nuctech for å true nasjonal sikkerhet og advart allierte om risiko for kinesisk spionasje. Nuctech avviser beskyldningene og mener selskapet er et offer for handelskrigen mellom USA og Kina.

I 2020 valgte Canadas utenriksdepartement å stanse en stor Nuctech-avtale etter at en trusselvurdering konkluderte med at skannerne ga økt risiko for spionasje.

Canadas tollvesen gransket også sitt Nuctech-utstyr i samarbeid med andre myndigheter, inkludert etterretningsorganisasjonen CSE, uten å avdekke sikkerhetsbrudd.

Høsten 2020 holdt kanadiske politikere en høring i parlamentet, der blant annet tollvesenet vitnet. Komiteen anbefalte Canadas regjering å forby kinesiske selskaper med statlig eierskap fra å få føderale kontrakter innen IT og sikkerhet.

Tolletaten i Norge har ikke meldt inn sikkerhetsproblematikk rundt Nuctech til andre myndigheter eller fått føringer fra andre myndigheter om at Nuctech skal forskjellsbehandles i anbudskonkurranser.

Ifølge Tolletaten har alle innkjøpene av Nuctech-skannere fulgt regelverket for offentlige anskaffelser. Etaten har vurdert innkjøpene som ugraderte, og har ikke koblet skannere til Internett.

Trusselvurdering avdekket sårbarheter

Canadas utenriksdepartement utførte sin trusselvurdering kun dager etter pressen omtalte en Nuctech-avtale på røntgenskannere til diplomatposter over hele verden. Avtalen var verdt rundt 48 millioner norske kroner.

Utenriksdepartementet godkjente først Nuctechs tilbud fordi skannerne ikke skulle kobles på myndighetenes IT-nettverk. Avtalen ble stanset da trusselvurderingen konkluderte med at utstyret likevel kunne samle informasjon.

Ifølge rapporten hadde skannerne hovedsakelig to sårbarheter:

  • Kompromittering av verdikjeder gjennom planting av fiendtlig maskin- og programvare.
  • Innsidetrusler under installasjon og vedlikehold.
ANBEFALTE KINA-FORBUD: Canadas utenriksdepartement stanset et innkjøp av kinesiske røntgenskannere til sine diplomatposter etter en trusselvurdering. I etterkant anbefalte en komité i parlamentet å forby kinesiske selskaper med statlig eierskap fra å få føderale kontrakter innen IT og sikkerhet. Bildet viser et kanadisk flagg ved Canadas ambassade i Beijing.

«Kompromittering kan skje på et hvilket som helst stadium i produktets livssyklus, inkludert produksjon av komponenter, montering av produktet, levering, installasjon, programvareoppdatering og fysisk vedlikehold», står det.

Dersom skannerne ble kompromittert, kunne de ifølge rapporten gi en rekke muligheter for angrep. Disse inkluderte skjult innsamling av skannerbilder via WiFi, bluetooth, mobilsignaler, og eskfiltrering gjennom USB.

«Slike tekniske angrep forstørrer også innsidetrusselen og utsetter alle som er assosiert til maskiner, fra installatører, vedlikeholdsarbeidere, IT-support og operatører, for risiko for å bli utsatt for kompromittering.»

Les også

Bakgrunn: Kinesiske skannere brukes på Norges grenser – svartelistet av USA

Canadas tollvesen fant ingen sikkerhetsbrudd

Canadas tollvesen (CBSA) hadde tidligere inngått fire kontrakter med Nuctech.

Da pressen omtalte utenriksdepartementets avtale, startet CBSA umiddelbart en full gjennomgang av kontrakter, anskaffelsesprosesser og utstyr for å identifisere mulig risiko og innføre passende tiltak.

Granskingen foregikk i samarbeid med flere andre kanadiske myndigheter. CBSA etterspurte en vurdering fra etterretningsorganisasjonen Communications Security Establishment (CSE), som hovedsakelig driver med signaletterretning, etter å ha blitt klar over sikkerhetsproblematikken.

Granskingen avdekket ingen sikkerhetsbrudd eller hendelser relatert til Nuctech-utstyret. Kun en liten andel av CBSAs deteksjonsteknologi var produsert av Nuctech.

Utstyret håndterte ikke gradert eller sensitivt materiale, ifølge CBSA. Det var ikke koblet til nettverket til CBSA eller andre kanadiske myndigheter.

CBSA lovet likevel å «styrke kontraktregimet» for å overholde nye, strengere retningslinjer fra kanadiske myndigheter som følge av saken. CBSA vurderte samtidig å «akselerere livssyklusen» på Nuctech-utstyret.

KANADISK TOLL: Logoen til Canada Border Services Agency (CBSA) på uniformen til en ansatt.

Anbefalte å forby kinesiske leverandører

Saken førte også til en komitéhøring i underhuset i det kanadiske parlament. I høringen vitnet myndighetspersoner, eksperter og konkurrenter, inkludert to representanter for tollvesenet CBSA.

Komiteen utarbeidet også en egen rapport, som tok høyde for konklusjonene i trusselvurderingen til utenriksdepartementet.

Utenriksdepartementet omtalte Kina som en av de mest sofistikerte innsamlerne av etterretning, som bruker hele spekteret av spionasjeteknikker.

Departementet omtalte Nuctech som et «kinesisk statseid selskap» som ble startet med «direkte koblinger til Folkets frigjøringshær og Kinas kommunistparti». Nuctech har avvist at selskapet er statskontrollert, og hevder Kinas myndigheter kun har en mindre eierandel.

Les også

Forsvaret stanset kjøp av kinesiske skannere

Komiteen i underhuset anbefalte til slutt Canadas regjering å forby kinesiske statseide og delvis statseide selskaper fra å få føderale kontrakter relatert til informasjonsteknologi og sikkerhetsutstyr.

Komiteen anbefalte også å legge større vekt på nasjonal sikkerhet i anbudskonkurranser, og å bedre samarbeidet mellom føderale departementer i vurderingen av risiko fra utstyr som kan påvirke nasjonal sikkerhet.

Publisert:
Gå til e24.no