Op 16 september 2023 zijn er twee artikelen gepubliceerd op het platform Follow The Money en zakenkrant De Tijd waarin wordt beweerd dat verschillende organisaties en bedrijven Chinese communicatieapparatuur met beveiligingsproblemen gebruiken.

Deze artikelen, die vooraf geweigerd zijn om te delen met Lydis of Yealink voor verificatie, bevatten aantoonbaar verschillende grote feitelijke onjuistheden die een verkeerde indruk geven over de fabrikant, de apparatuur en de audio- en videocommunicatie via het netwerk in het algemeen.

Follow The Money rakelt enkele verouderde kwesties op en zoomt in op vrijwel irrelevante producten teneinde het onjuiste beeld te schetsen dat communicatieverkeer van Nederlandse & Belgische instellingen gevaar loopt. Dat is pertinent niet het geval.

Een groot deel van het artikel gaat over een encryptietool die volgens de professionele telefonieaanbieders op de telefoniemarkt niet wordt gebruikt voor het versleutelen van configuratiebestanden (provisioning documenten genoemd in het artikel). Deze aanbieders gebruiken hun eigen veiligheidsmaatregelen om ervoor te zorgen dat gegevens veilig worden uitgewisseld tussen hun platform en de apparatuur bij de gebruiker op het bureau.

De gegevens van je telefoonabonnement zijn nooit in handen van de fabrikant van het product. Deze gegevens zijn eigendom van de provider waar je telefoniedienst afneemt. Daarom is de bewering in het artikel over de provisioning ook onjuist.

Telefonie (met producten van alle telefoon fabrikanten) via het netwerk werkt met poorten die op een telefoon en in de telefooncentrale open moeten staan, deze noodzakelijke open poorten maakt het product dan niet opeens extra kwetsbaar. Als de poort dicht staat, werkt de telefoon nou eenmaal niet.

Belangrijke informatie: Lydis en Yealink zijn in augustus 2022 op de hoogte gesteld van kwesties met de Yealink-telefonieapparatuur. De Video (bijv. Teams) apparatuur van Yealink wordt volledig door Microsoft beveiligd. De bewering in het artikel geeft geen juiste weergave hierover. Als distributeur streven wij naar optimale veiligheid van onze producten en wij zijn de persoon die dit probleem heeft gemeld zeer dankbaar. Lydis was niet op de hoogte van deze situatie, maar na overleg met de fabrikant hebben wij ontdekt dat er inderdaad problemen waren.

Er waren twee specifieke problemen: er was een probleem met de hierboven genoemde encryptietool die theoretisch alleen van invloed kon zijn op een klein deel van de telefonieaanbieders op de markt, en er was een probleem met sterk verouderde systemen waarbij de firmware kon worden geopend. Het artikel suggereert echter ten onrechte dat het openen van firmware beter is dan "goed beveiligde" firmware.

Hoewel één van de problemen theoretisch mogelijk bij sommige klanten op zou kunnen treden, heeft Yealink de firmware van de sterk verouderde modellen bijgewerkt, ondanks dat deze al jaren niet meer wordt ondersteund en de encryptietool aangepast. We hebben hierover in april 2023 openlijk gecommuniceerd met de betrokken klanten van Lydis en Yealink. Klanten hebben na analyse/pentesten geconcludeerd dat er geen extra risico ontstaan is hierdoor. Wij willen benadrukken dat er geen persoonlijke gegevens in gevaar zijn geweest als gevolg van deze situatie.

In juni 2023 hebben wij de persoon die het probleem heeft gemeld en een journalist van Follow The Money op ons kantoor ontvangen en hebben wij alles in detail uitgelegd. Het is echter duidelijk dat zij met onze uitleg en informatie het artikel hier niet op de genoemde onjuistheden hebben willen aanpassen.

Lydis werkt al tientallen jaren samen met Yealink en wij zien, net zoals serieuze partners die zich met eigen pentesten overtuigd hebben, geen enkele reden om de manier waarop Yealink met veiligheid omgaat ter discussie te stellen zoals Follow The Money en zakelijk krant De Tijd nu doet. Yealink neemt veiligheid zeer serieus en heeft naar ons idee adequaat gereageerd zodra deze kwestie (iets dat bij vele aanbieders van communicatie apparatuur regelmatig voorkomt) aan het licht kwam . Als u vragen heeft, kunt u uiteraard contact met ons opnemen.

Namens het Lydis team,

Gijsbert Zijlstra

Technical Director

gijsbert.zijlstra@lydis.com

+31 6 82019802

Het volledige statement van Yealink is hier te vinden, hier deelt Yealink de feitelijke informatie over alle maatregelen omtrent security van haar producten en organisatie, zoals ISO 27001, GDPR, SOC2 Type1, SOC2 Type2, and SOC3, 802.1x, AES Encryption.

Heb je vragen over bovenstaand statement vul onderstaand formulier in