Dagelijks is te lezen dat de Amerikaanse politiek de rol van Chinese tech bedrijven wil indammen. Haaks daarop staan berichten die veel minder opvallen. Dat zijn meldingen zoals die van het Pentagon. Dat wist afgelopen donderdag een dreigend verbod op het gebruik van Huawei hardware uit te stellen. Het illustreert hoe moeilijk een krappe focus op veiligheid is.
Section 889
Huawei is een vijf Chinese bedrijven die in de VS door “Section 889 of the 2019 National Defense Authorization Act” aan banden is gelegd. De bepaling verbiedt het overheidsinstellingen, zoals het Pentagon, zaken met bedrijven die op hun beurt weer zaken doen met Huawei, ZTE en consorten. Dat lijkt een effectieve methode te zijn om het vijftal buiten bepaalde netwerken en infrastructuren te houden, zonder ze formeel te verbieden. In het laatste geval zijn een stap naar de rechter, het aanhangig maken van internationale acties plus sancties onvermijdelijk. Washington probeert het dus op deze manier.
Eigen dienstverlening in het gedrang
Of de zorg om de nationale veiligheid terecht is, maakt voor de huidige situatie niet uit. Wat we sinds vorige week weten is dat nota bene het Ministerie van Defensie, het Pentagon, de wettelijke plicht per 13 augustus met handelaren te verbreken heeft uitgesteld. Men is er achter gekomen dat het onmogelijk is van alle contractpartners te eisen dat ze nu al alle banden met de vijf Chinese bedrijven verbreken. Als ze dat namelijk doen zal direct een deel van de eigen dienstverlening en die van het Pentagon in het gedrang komen.
Dat het nieuws in de VS ook maar tot een paar tech titels is doorgedrongen heeft meerdere redenen. Een daarvan is dat het lastig is toe te geven dat ook defensie op bepaalde vlakken nog niet zonder Huawei en de anderen kan. De andere reden is dat deze ontwikkeling duidelijk maakt dat bij security heel veel meer komt kijken dan hardware zonder backdoors.
Business Continuity
Het op de rem trappen van het Pentagon is bedoeld om de continuïteit van de eigen “dienstverlening” en die van de leveranciers te waarborgen. Het streven is dat voor 30 september gerelegd te hebben. Dan zal Section 889 ook voor defensie leveranciers gelden.
Wat we hier zien is iets dat in elk business continuity plan naar voren moet komen. Een te grote of te complexe afhankelijkheid van leveranciers moet altijd bekend zijn. Behalve dat moeten de alternatieven ook bekend zijn. Dat laatste is voor het Pentagon en de contractors dus niet het geval. Er lijkt ook nog geen migratie pad te zijn om Huawei uit te faseren zonder dat daarbij de continuïteit in het gedrang komt.
Het was ook wel erg ambitieus (en vooral erg politiek) te verwachten dat het Pentagon zoiets in iets meer dan een jaar lukt. Elke telco heeft daar tenminste drie jaar voor nodig.