PTS beslut att stänga ute Huawei från det svenska 5G-nätet, som tvisten i förvaltningsrätten handlar om, bygger på en bedömning från Säkerhetspolisen och Försvarsmakten.
Myndigheterna anser att företagets koppling till Kina som sysslar med omfattande spionage gör att de inte kan släppas in i samhällskritisk verksamhet som 5G, eftersom landets lagar ålägger kinesiska företag att samarbeta med myndigheterna.
– Bedömningen Säpo har gjort är att den kinesiska partistaten kan påverka och utöva påtryckningar på Huawei, dels genom företagets koppling till den kinesiska staten, dels med stöd av den kinesiska underrättelsetjänsten, sade Kurt Alavaara, informationssäkerhetschef på Säpo, i sitt vittnesmål under torsdagen, den andra dagen av tre för förvaltningsrättens muntliga förhandling.
Operatörerna är starkt beroende av leverantörerna, som bland annat kan bestämma om när och hur leverans av nödvändiga delar ska ske, samt hur programvaran ska uppdateras, enligt Alavaara.
Unik position
– Eftersom leverantören är inne i nätet har de en unik position och kan påverka funktionalitet och konfidentialitet i nätet, men också riktighet, tillgängligheten och spårbarheten, sade han.
Detta förutsätter att det finns en stark tilltro till leverantören, vilket inte kan finnas med Huawei, menade han.
Konsekvenserna skulle kunna bli stora om en aktör "inne" i 5G-nätet, likt Huawei, valde att agera illvilligt, sade han.
– Det kan innebära att de trafiksystem som reglerar exempelvis tåg kan stängas av. Det kan handla om konsekvenser för brandkår, ambulans, störningar för polisen. Det kan även innefatta störningar i medicinska system, och påverka el- och vattenförsörjningen.
Saknar möjlighet
Vittnesmålet stod i bjärt kontrast till de av Huawei kallade vittnena, som menade att leverantörer saknar möjlighet att exempelvis installera skadlig kod utan att det upptäcks av operatören.
– Vår roll är att förse operatören med uppdateringen. Det är sedan operatören som utför kontroll och underhåll av uppdateringarna, sade Marja Dunderfelt, Huaweis egen säkerhetsdirektör i Finland, där bolaget inte uteslutits från 5G-nätet.
Även Thomas Helbo, Tele 2:s teknikchef fram till januari i år, vittnade om att sådana spionprogram skulle upptäckas.
– Det har inte hänt vad jag vet, men det skulle absolut vara en del av granskningen.
Kurt Alavaara på Säpo höll inte med.
– Jag kan konstatera utifrån den dialog vi haft med operatörerna att de inte har förmåga att genomföra kodgranskning i den omfattning som skulle krävas.
Thomas Helbo talade även om att operatörens säkerhet aldrig kan bygga på tillit gentemot leverantörerna, i motsats till vad Alavaara upprepade gånger sade – i stället måste säkerheten byggas in i systemen, menade han.
Sämre utan Huawei
En annan viktig aspekt i säkerhetsarbetet är att använda olika leverantörer till olika komponenter i systemet, dels för att få bästa möjliga lösning till varje system, dels för att försvåra överblicken för enskilda leverantörer, enligt Thomas Helbo.
I det avseendet kan PTS beslut om att utesluta en av de stora leverantörerna leda till sämre säkerhet, menade han.
– Det är absolut sämre. När du har fler leverantörer har du fler möjligheter att välja det säkraste alternativet.
Kurt Alavaara motsatte sig den bedömningen.
– Fler leverantörer tar inte bort riskerna. Om leverantören utsätts för påverkan och tvång att införa dold funktionalitet så kvarstår problemet.