Overheid komt met Cybercheck waarmee bedrijven supplychainrisico's kunnen inzien

Meerdere Nederlandse overheidsinstellingen, waaronder de AIVD, het NCSC en de NCTV, hebben een 'Cybercheck' gemaakt waarmee ondernemers kunnen zien of zij binnen hun supply chains risico lopen op beïnvloeding door landen met een offensief cyberprogramma

De Cybercheck is gemaakt door de Algemene Inlichtingen- en Veiligheidsdienst, de Nationaal Coördinator Terrorismebestrijding en Veiligheid, het Nationaal Cyber Security Centrum en de CIO Rijk. De gids bevat meerdere tips voor organisaties om een 'supply chains' in kaart te brengen, hun aanleveringen voor producten en diensten, en om vervolgens te kijken of ze via die supply chains risico lopen op cyberaanvallen of spionage. Het gaat specifiek om bescherming tegen risico's van landen met een offensief cyberprogramma, zoals Rusland, China, Noord-Korea of Iran. Deze landen 'kunnen tijdens de ontwikkeling of het onderhoud van producten en diensten invloed uitoefenen op de supply chain', schrijven de instanties. Door lokale wet- en regelgeving kunnen ze bedrijven of burgers dwingen om 'digitale achterdeuren in hun product of dienst in te bouwen'. Zo kunnen die landen spioneren in Nederland, of op andere manieren in belangrijke infrastructuur terechtkomen.

De Cybercheck bestaat uit een stappenprogramma waarmee ondernemers onder andere kunnen bepalen hoe groot het risico is dat ze lopen. Zo kunnen beheerders kijken naar waar een OS of juist de firmware wordt gemaakt. Ook beschrijft de check welke risico's dat met zich meebrengt en wat ondernemers kunnen doen om het risico te verminderen.

Cybercheck

Door Tijs Hofmans

Nieuwscoördinator

19-04-2024 • 08:00

82

Submitter: wildhagen

Lees meer

Reacties (82)

Sorteer op:

Weergave:

Ik zie (zoals altijd) weer vooral negatieve reacties. Kunnen jullie ook aangeven hoe het wel zou moeten? Als je zegt dat anderen het niet goed doen moet je immers weten hoe het beter kan.
Eerst je risico's en de impact op de business in kaart brengen van je processen. Waar het risico hoog is zou je deze check kunnen toevoegen aan de andere checks.
Maar dan ga je ervan uit dat bedrijven de kennis hebben om dit te doen. En dat is niet zo. En zelfs als ze cybersecurity personeel hebben, is dit gebied vaak een lastigere.

Ik geef veel lezingen over TPRM en ondanks dat dit een focusgebied van toezichthouders en frameworks is sinds enkele jaren, zijn er slechts enkele sectoren die hier voldoende mee bezig zijn.
Information Security personeel bedoel je ;)
Whatever floats your boat.

Ik was CISO bij een multinational, daar was het beleid dat iedereen security analyst genoemd moest worden, zelfs GRC staff. Zelf vind ik cyber een onderdeel van information security, maar minder mensen hebben idee wat information security inhoudt.
De terminologie in de sector is ook een drama.

1) Cyber is de domste term die ik ooit heb gehoord. Veel managent praat heel hip over "cyber" Cyner dit cyber dat. Vervang dat eens door computers (een vergelijkbare term van dezelfde genericiteit) en dan merk je hoe stom het is.

"Zelf vind ik computers een onderdeel van information security". Dan zou ik zeggen dat computers in de taxnomie op een heel hoog niveau zou moeten zitten.

2 ander voorbeeld: Information = data
Is dan information security == data security?

Kortom, als zelfs een CISO niet uit het terminologie moeras komt zijn we hier nog wel even zoet mee.
Wat een frustratie :) Toevallig een leraar filosofische semantiek?

Cyber is techniek. Cybersecurity draait om het beveiligen van de CIA binnen de techniek.

Information security gaat om het beveiligen van de CIA van informatie. Dit kan op computers staan, vandaar dat ik cybersecurity zie als onderdeel van, maar ook in hoofden van mensen of op fysieke locaties in kasten.

Ik weet niet waarom ik cyber met computers zou vervangen. En afhankelijk van welke theorieboeken je erbij pakt, is data niets meer dan een feit of statistiek. Informatie biedt de context.

Ik kom overigens prima uit het door jou verklaarde moeras hoor :) En gelukkig weten veel mensen waae het om gaat zonder heel binair na te denken over de exacte termen zonder te hoeven discussiëren over de semantiek.
Infosec was er al voor het it tijd perk en info is niet altijd digitaal als je CISSP krijg je ook over model van lang geleden zoals het The Bell Lapedula model en Biba enz ;)
Klein sarcastisch woordenboek voor IT-terminologie:

techniek = uitgevonden na mijn geboorte
smart = ik weet nog dat er vroeger geen chip in zat
ai = uitgevonden na mijn pubertijd
high tech = ik vind het te duur
cyber = ik snap internet niet
information = ik snap techniek niet
De overheden moeten iets met dit probleem. Zowel hardware als software bestaat uit talloze componenten uit veel landen en de supply chain is totaal niet inzichtelijk. In 9 van de 10 gevallen kom je uit op dat een component uit China komt. En dan? Gaan we met de elektronenmicroscoop alle miljard circuits doorlichten?

Op dit moment is er vaak totaal geen inzicht in de supply chain, het is natuurlijk zaak dat dat op een gegeven moment wel komt. Een initiatief als dit is top maar het dekt natuurlijk heel weinig af. Het is wel een stapje in de goede richting.

De kritiek dat dit geen totaal beeld is is echter wel belangrijk want dit dekt nog maar het topje van de ijsberg. Het is wel goed voor mensen om te onthouden dat de rest van de ijsberg er ook nog is. Betekent ook niet dat we het dood moeten slaan maar soms is kritiek zonder een betere oplossing ook handig zolang het niet doorslaat.

[Reactie gewijzigd door kftnl op 23 juli 2024 00:24]

Het toont wel aan dat er een markt is voor westerse fabricage voor zulke componenten. Voormalige soviet-landen zouden er een flinke boost aan de economie mee kunnen pakken.
Ten eerste heeft Amerika een veel grotere vinger in de pap wat betreft spionage in soft- en hardware. (als enige land bewezen BTW)
Dus wijzen naar de bekende schurkenstaten is bijzonder.

Daarnaast zegt het totaal niks.
Als er een applicatie in België wordt gemaakt waarbij zij onderdelen gebruiken die uit Amerika komen, die uit Japan komen die uit China komen, dan kom je daar never nooit achter.

En als laatste zijn het de wél vertrouwde applicaties die juist gehacked/geïnfiltreerd worden. Je hebt niks aan het weigeren van bijvoorbeeld Kaspersky wanneer je HRM software een trojan bevat.

Edit:
En een positieve aanbeveling: vereis per wet dat alle software álle onderliggende paketten van derden duidelijk op papier hebben. Inclusief sub-pakketten, zo diep als nodig.
Ik weet niet of land van herkomst gaat werken omdat github devs vaak wereldwijd werken.

[Reactie gewijzigd door Triblade_8472 op 23 juli 2024 00:24]

Ten eerste heeft Amerika een veel grotere vinger in de pap wat betreft spionage in soft- en hardware. (als enige land bewezen BTW)
Dus wijzen naar de bekende schurkenstaten is bijzonder.
Als ik naar het document kijk en de reactie waar jij op reageert, gaat het om landen met een offensieve cyber capaciteit die een risico vormen. Niet alleen om schurkenstaten. En als ik dit soort processen een beetje ken worden juist landen als de VS en Israël expliciet meegenomen in dergelijk analyses.
Als iedereen een mening deelt, dan is het toch voor de hand liggend dat het misschien gewoon niet zo'n goed idee is?

En pertinent niet eens. Ik zie genoeg dingen waar ik kan vaststellen dat iets niet handig is, maar als het ding dat niet handig is bijvoorbeeld 3 jaar tijd heeft gehad om te ontwikkelen, dan kan ik toch niet even daar in twee zinnen repliek op geven?

Ja, men zou wel meer specifiek mogen zijn, maar goed feedback geven is een skill die je moet leren. En laten we eerlijk zijn, we praten hier niet tegen de makers, maar elkaar, dus dan mag je een beetje klagen.
Bor Coördinator Frontpage Admins / FP Powermod @Zebby19 april 2024 10:26
Als iedereen een mening deelt, dan is het toch voor de hand liggend dat het misschien gewoon niet zo'n goed idee is?
Dat kan maar ik vermoed meer dat je de doelgroep voor een check als deze hier niet vindt. Het aantal mensen hier dat bedrijfsmatig met informatiebeveiliging bezig is ligt niet zo hoog. Het is lastig oordelen wanneer je de uitdagingen en ins- en outs niet kent. Een check als deze lijst simpel maar dat is het voor veel mensen en bedrijven niet.

Er wordt niet voor niets tijd gestoken in de ontwikkeling van een check als deze en het geven van informatie omtrent supply chain risico's. Die risico's zijn namelijk nu met de huidige stand van zaken in de wereld en de grote afhankelijkheid van technologie die we hebben gecreëerd misschien wel belangrijker dan ooit.
Vervelend maar begrijpelijk en inderdaad, de beste stuurlui staan aan wal. Maar goed, wat wil je dan echt, we hebben niets te kiezen en het probleem in iets zien is gemakkelijker dan een oplossing aandragen.

Iedereen heeft zijn eigen leven en dat is moeilijk en tijdrovend zat.

Het vertrouwen glijd al jaren af in diegenen van wie we het verwachten en zelf hebben we er niet de kans nog mogelijkheid toe buiten het te ventileren.

Democratie is misschien een goed idee, in principe, maar de uitvoering en scheiding is gigantisch.
Veel mensen redden het ternauwernood en voelen zich vooral doodgenaaid, ontevreden en hebben een verschrikkelijk negatief toekomstbeeld.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:24]

Ik vind deze cybercheck echt belachelijk.
land X == offensief cyberprogramma

Kijk vervolgens naar hun voorbeeld van het bedrijf "TechnologyS", Hoe kan de CISO 3 maal, nee hebben ingevoerd?
Het is 100% zeker, dat ze voor het ontwikkelen van hun software, tools gebruiken, die niet in Nederland gemaakt worden.
Het is ook 100%, dat ze niet een O.S. gebruiken wat in enkel in Nederland ontwikkelt worden, Zeer waarschijnlijk hebben ze het over Microsoft. de HQ van Microsoft zit in een land met een offensief cyberprogramma.
En het lijkt mij zeer sterk, dat ze zelf de firmwares ontwikkelen voor de verschillende devices, zoals laptops en telefoons.


In het huidige IT landschap, kan je simpel weg op geen enkele vraag, Nee zeggen.
Daarom vind ik deze cybercheck belachelijk.

Hoe wel.
- Ken uw leverancier, updaten ze hun software, werken ze met teams in het buitenland etc. Dat is risico's die je wilt weten.
- Hoever kan een leverancier in je netwerk komen en wordt dit actief gemonitoord.
- Gebruikt u software van een kleine onbekende ontwikkelaars? (Denk o.a. aan npm, pip en epel rpo's)
- Is uw update beleid, up to date (denk aan software, firmware's van devices en componenten)

Eigenlijk komt het op neer, heeft u o.a. ISO-2700x geïmplementeerd. Je kan als bedrijf je best ISO-2700x gebruiken, zonder direct het certificaat te behalen. Echter bedrijven vertrouwen elkaar meer als er wel een certificaat is.


/edit
Btw, waarom geeft NCSC niet aan welke landen met een offensief cyberprogramma, wij als Nederland een risico vinden.

[Reactie gewijzigd door wica op 23 juli 2024 00:24]

Eigenlijk komt het op neer, heeft u o.a. ISO-2700x geïmplementeerd. Je kan als bedrijf je best ISO-2700x gebruiken, zonder direct het certificaat te behalen. Echter bedrijven vertrouwen elkaar meer als er wel een certificaat is.
Het hebben van een ISO 27001 certificaat zegt echt helemaal niets of een organisatie dit soort risico's management. Het zegt alleen dat ze een information security management systeem hebben en systematisch aan cyber security werken en cyber security hebben geformaliseerd in de organisatie.

Waar dit document wel in gaat helpen is het voor ISMS-managers duidelijk maken dat dit een risico is dat ze mee moeten nemen voor hun ISMS. En ze handreiking bieden hoe ze dat risico kunnen beoordelen.
/edit
Btw, waarom geeft NCSC niet aan welke landen met een offensief cyberprogramma, wij als Nederland een risico vinden.
De AIVD zegt er wel wat over, maar die zijn ook niet 100% duidelijk. Is natuurlijk ook afhankelijk van de context van je organisatie. https://www.aivd.nl/onder...-offensief-cyberprogramma
Ik vraag me het volgende al een heel tijdje af:
Als bedrijven hun security op orde (lijken te) hebben wat de risico’s door hun werknemers zijn. Ik bedoel, iedere glasvezel-, of kabelleverancier levert modems mee of van die (bijv. TP Link) Wifi schotels of extenders. Meeste zijn van Chinese makelij, net als veel mobieltjes van werknemers (OPPO, Mi of hie ze ook heten). Daar wordt dan vrolijk mee ingelogd op de bedrijfsservers, werkend van huis uit.
Kan iemand zeggen hoe groot die risico’s zijn vanwege backdoors o.i.d.?
De bedoeling is juist dat je dat als bedrijf voldoende zelf onderzoekt. Je hebt niet zomaar je security op orde zonder dit soort onderzoek. En de uitkomst kan voor verschillende bedrijven verschillende risico's geven, dus je kan ook niet even aan anderen vragen wat hun inschatting is als die niet de omstandigheden van je bedrijf en (tussen)leveranciers kennen.
Dat begrijp ik. Ik bedoel de situatie waarbij het bedrijfsnetwerk in principe (zo) veilig (mogelijk) is maar de apparatuur bij de werknemer thuis niet gecheckt is (wat normaal ook niet gecheckt wordt). Maar ik begrijp van @linext dat een versleutelde verbinding (vpn, ssh, https) voldoende is. Zelf koop ik n.l. echt geen Chinese telefoon bijv., hoe goedkoop en mooi ook….
Het punt is juist dat als je wil weten wat de risico's zijn je niet zomaar kan stellen dat een middel een oplossing is. Dat gaat dus ook voor je specifiekere omschrijving op.

Om een voorbeeld te geven. Een vpn voorkomt niet zomaar dat met malware besmette prive-apparatuur zoals een laptop of smartphone niet voor problemen zorgt voor een bedrijf of collega's. Net zoals ssh-toegang niet zomaar veilig blijft als besmette apparatuur je toetsenbordaanslagen of andere toegangssleutels kan krijgen.

Als gebruiker kun je je omgekeerd ook afvragen waarom je een bedrijf zou vertrouwen met je eigen appartuur. Want met verschillende oplossingen kan een bedrijf zichzelf wel proberen te beveiligen maar heb jij er niet zomaar minder risico door. Bijvoorbeeld als die vpn met een bedrijf omgekeerd ook toegang heeft tot jou persoonlijke bestanden, of dat een zzp'er het prima lijkt om mailbijlagen voor het werk te openen op de zelfde apparatuur die deze ook prive gebruikt.
Klopt. De oplossing bestaat altijd uit meerdere zaken die samenhangen. Probleem is en blijft echter dat de digitale wereld een specialisme op zich is waardoor “gewone” mensen het niet op de rit krijgen in hun eentje. Het is te ingewikkeld.
Als toevoeging wil ik nog vermelden dat een beveiligde verbinding een oplossing is voor netwerkapparatuur die je niet vertrouwd, er vanuit gaande dat de vpn verbinding wordt opgezet vanuit de client (laptop, pc, tablet). En er vanuit gaande dat dit apparaat (laptop, pc of tablet) wel in beheer is bij het bedrijf of regelmatig is gecontroleerd.
Wanneer dat laatste niet het geval is, dan is het risico op malware infecties groter. Een versleutelde verbinding gaat daar niet bij helpen. Privé wordt een laptop namelijk voor meer zaken gebruikt en misschien ook door de kinderen. De kans op een besmetting zal daardoor toch toenemen. Ook worden de systeemupdates en antivirus updates niet altijd even snel geïnstalleerd.

Dan zul je als bedrijf een risicoafweging moeten maken, moet er een werk laptop mee naar huis of zijn eigen devices toegestaan op het bedrijfsnetwerk.
Verder moet je het bedrijfsnetwerk zoveel mogelijk segmenteren, niet elk apparaat hoeft met elk ander apparaat te communiceren, niet elke medewerker of afdeling hoeft direct met anderen devices verbonden te zijn, aparte wifi voor bezoekers etc, dit kan de snelheid van verspreiding van malware beperken tot slechts één segment van het bedrijfsnetwerk.
@kodak en @linext Echt tof dat jullie zoveel tijd hebben genomen om te antwoorden en jullie kunde te delen! 👍👍
Als bedrijven hun security op orde (lijken te) hebben wat de risico’s door hun werknemers zijn.
Dat is een beetje een valkuil. De werknemers zijn het belangrijkste onderdeel van security en altijd het grootste risico. Computers dichttimmeren is op zich vrij makkelijk, het probleem zit in de gaten die je moet laten zodat je eigen mensen er bij kunnen waarbij je rekening moet houden met dat mensen nu eenmaal fouten maken en ongeduldig zijn en zo nog wat menselijke eigenschappen.
Kan iemand zeggen hoe groot die risico’s zijn vanwege backdoors o.i.d.?
Eerlijk gezegd is dat zo'n echt "het ligt er aan" vraag. Het ligt er heel erg aan wat voor bedrijf je bent en waar je bang voor bent.

Eigenlijk niet. IT-security zit op een lastig punt dat we een enorm gat hebben tussen wat er in theorie mogelijk is en wat we in praktijk kunnen controleren. Een beetje moderne telefoon installeert iedere week wel de een of de andere update. Bij iedere update kan een backdoor of andere rotzooi geinstalleerd worden die er voorheen niet was.

In praktijk zijn echt backdoors behoorlijk zeldzaam en voor de meeste organisaties niet het grootste probleem. Als zo'n backdoor echt gebruikt wordt is de kans relatief groot dat het opvalt.
Er zijn veel meer kleine diefjes bezig die proberen je data te jatten of je wachtwoorden.

Ik ben zelf van de vrolijke paranoide benadering. Daarmee bedoel ik dat ik niet in een hoekje zit te wanhopen dat alles onveilig is maar dat mijn basishouding is dat geen enkel apparaat en geen enkel stuk software helemaal te vertrouwen is. Ook zonder criminaliteit gaan dingen fout of stuk.
Daarom probeer ik systemen te hebben die elkaar controleren en probeer ik belangen en machsdomeinen te spreiden.

Als je bang bent dat je wordt gehacked door de Russen moet je geen Russische firewall kopen maar een Amerikaanse. Als je bang bent voor de Amerikanen moet je juist een Russiche of Chinese firewall kopen. En als je voor alle drie bang bent moet je van alle drie een firewall kopen en ze elkaar laten controleren.

Ik zou eerst investeren in mensen en kennis en pas later in techniek. Techniek zonder kennis heeft weinig zin.
Dank voor je zeer uitgebreide antwoord!
Persoonlijk vind ik de beveiliging van computers, telefoons etc. best wel een ingewikkeld dingetje. Ik gebruik een VPN en uitgebreid anti virus pakket, update de boel allemaal keurig netjes maar dan heb je het wel gehad. Veel bedrijven denken er misschien wat te makkelijk over of hebben totaal geen, of slechts een beetje idee wat er voor risico’s bestaan. Inhuren van IT deskundigen kost voor kleine bedrijven heel wat en is vaak financieel niet haalbaar voor hen. We hoeven maar te kijken naar de ransomware aanvallen bij allerlei bedrijven maar ook bij maatschappelijk zeer belangrijke instituties zoals ziekenhuizen, waterschappen, overheid e.d.. Maar ook waar klantgegevens worden gestolen en doorverkocht zodat klanten van die bedrijven bestookt worden met spam en phishing mails of te maken krijgen met identiteitsfraude. Ik vind dat toch echt behoorlijke problemen. Groot probleem is dat er bij de gemiddelde burger of winkelier te weinig kennis is wat weer komt doordat de digitale wereld en beveiliging toch behoorlijk ingewikkeld is.
Neem bijv. het (nog niet zo heel lang geleden nieuws item over die (Chinese)beveilingscamera’s die overal hangen, waarbij er zijn die op consulaten, ambassades e.d. gericht zijn wat toch echt een probleem blijkt te zijn. Of de beveiligde omgeving van de zonnepanelen waarbij wachtwoorden op default staan of gewoon nog blanco zijn. De gemiddelde mens staat toch helemaal niet stil bij die gevaren? Sterker nog, die zien gewoon helemaal geen gevaar?

Moeten we niet gewoon constateren dat “we” niet hebben (kunnen) voorzien dat de digitalisering ook heel veel beveiligingsvraagstukken met zich mee heeft gebracht? Dat, in ieder geval, de oudere generaties hier bijna niks mee kunnen? Waarbij, denk ik, ook opgemerkt moet worden dat ook een gedeelte van toekomstige generaties hiermee zullen (blijven) worstelen om de simpele reden dat nou eenmaal niet iedereen goed is in theorie of digitalisering maar wel met hun (onmisbare gouden) handen?

Pfff, nee makkelijk is anders….
Veel mensen (en dus ook bedrijven) beseffen nog veel te weinig wat de risico's zijn van apparaten die aan het internet hangen. Het is vooral de verantwoordelijkheid van de installateur en leverancier van bijvoorbeeld camerasystemen om dit goed te regelen bij zijn/haar klanten. Dit soort systemen zonder wachtwoord of een simpel default wachtwoord kon 10 jaar geleden al niet meer, het is bizar dat dit nog steeds niet is doorgedrongen bij o.a. de leveranciers. En er in zijn algemeenheid nog steeds te weinig bij stil wordt gestaan. Terwijl er zoals je al aangeeft heel veel voorbeelden in het nieuws zijn waarbij het mis is gegaan.

Gelukkig wordt er wel gewerkt aan steeds meer bewustwording en is er ook meer wetgeving in de maak op het gebied van cybersecurity. De Europese NIS2 richtlijn bijvoorbeeld, dat is ook de voornaamste aanleiding dat onze overheid nu met deze cybercheck komt.

En fijn dat er ook mensen zijn die de digitale veiligheid wel serieus nemen. Wat ik zo lees heb je de basis iig op order.
Dank je wel. En ja, er is gelukkig steeds meer bewustwording maar dat is ook heel hard nodig. Feit blijft dat de meeste mensen afhankelijk zijn van IT’ers want deze kennis is echt van specialisten.
Jongere generatie doen het niet veel beter hoor, het is lastig en complex. Om het echt goed te doen is al snel onbetaalbaarduur. Ergens zijn we ons zelf voorbijgegaan door ontzettend snel te groeien zonder dat we de risico's echt beheersen. Het ergens heeft de IT-markt wat van een casino, door flinke risico's te nemen kun je enorm rijk worden, of enorm arm, maar met veilig spelen verlies je altijd (van het huis).
Er is geen duidelijke schuldige, we willen allemaal leuke software voor weinig geld. De IT-bedrijven hadden hun klanten misschien beter moeten beschermen of opvoeden, maar het is lastig om geld voor security te vragen als de klant dat niet kan zien of beoordelen, want de onveilige concurrent is goedkoper.
Wel typisch is dat er erg vaak klantdata wordt gestolen, je hoort zelden de de financiele gegevens of de bedrijfsgeheimen op straat liggen. Als het om de data van andere gaat doen we blijkbaar minder moeite.

Of we het hadden kunnen zien aankomen? Zeker wel, en IT-wereld heeft het ook zien aankomen, in de jaren 80 waren computerhackers al een ding in populaire cultuur (en ze bestonden al langer) en was het grote publiek op de hoogte dat er zo iets als computerbeveiliging, wachtwoorden, virussen. Natuurlijk had niemand de exacte details kunnen voorspellen, maar dat computerbeveiliging belangrijk is weten we al lang. Dat het in praktijk niet goed is geregeld weten we ook al decennia. Voor de doorbraak van internet was het allemaal makkelijker, als het echt veilig moest zijn kon je er een bewaker met een pistool naast zetten en moest je alleen oppasen met diskettes met virussen. Dat bedrijven overvallen zijn door de opkomst en snelle groei van internet begrijp ik, maar het is geen excuus. Ieder systeem dat nu op internet is aangesloten is gebouwd in een tijd dat best wisten dat security belangrijk is.

De situatie voelt een beetje als olie of tabak. De bedrijven daarachter weten al heel lang dat hun producten problematisch zijn maar hebben die kennis niet gebruikt om het grote publiek te beschermen. Ik wil niet uitsluiten dat er ooit een dag komt dat de techleiders in Den Haag uitleg moeten komen geven over hoe het zo enorm fout heeft kunnen gaan. (In de VS zijn ze al een keer moeten komen opdraven ivm social media en beinvloeding van de verkiezigen. Dat is gerelateerd maar anders.). In Nederland hadden we 10 jaar geleden de commissie Elias die constateerde dat IT een puinhoop is. Er is sindsdien wel wat voortgang geboekt maar tegelijkertijd is er enorm veel IT bij gekomen en veel van de oude meuk draait nog steeds.
In alle eerlijkheid is de Nederlandse overheid echt niet de ergste en doet een aantal dingen ook wel goed (of uberhaupt). Dit is geen overheidsprobleem maar speelt overal, ook bij de techbedrijven zelf.
Ja, er is een hoop vooruit geschoven en veel koppen hebben vast gezeten in het zand. Toch denk ik dat ook de snelheid (sneeuwbaleffect) van digitale ontwikkeling daar voor een groot deel debet aan is en, in mijn beleving, ook het hele AI gebeuren…hoort eigenlijk bij elkaar. En mensen zien het probleem ook nog steeds niet echt… Privacy? “Ik heb niks te verbergen”. Beveiliging? “Ik heb niks te verbergen”, etc. En Social Media… als ik nu kijk naar wat ik weet over hoe die bedrijven met mensen omgaan…ik had zelf werkelijk niet gedacht dat dat überhaupt allemaal mogelijk was maar erger nog, dat bedrijven gewoon zo in en in slecht kunnen zijn, over lijken gaan voor winst en aandeelhouders….. Ja, ik weet het, ik ben heel naïef….
Er zitten wat meer risico's aan thuis werkende medewerkers. Maar of de netwerkapparaten thuis te vertrouwen zijn is een lastige vraag. In principe niet, omdat het lastig te controleren is. De firmware wordt niet altijd even snel geupdate (als er al een update komt) of omdat de leverancier uit een land komt waar je vraagtekens bij kunt zetten. De data die daar onversleuteld overheen gaat kan gelezen worden door derde partijen, maar dat geldt voor het internet in het algemeen natuurlijk ook.

Gelukkig heeft elk zichzelf respecterend bedrijf een versleutelde verbinding naar het bedrijfsnetwerk, via vpn, https of ssh. Op die manier hoef je onderliggende netwerkapparatuur niet te vertrouwen en kun je toch een veilige verbinding maken. Uiteraard moet de vpn software wel echt veilig zijn en up to date.
Oke, dank je wel voor de heldere uitleg!
Opmerkelijk dat in die PDF nergens NIS2 wordt genoemd. Terwijl juist leveranciersmanagement/beveiliging toeleveringsketen/supply chain risk (geef het een naam) een van de grote veranderingen zijn.
Dat komt omdat er nog geen lokale vertaling van NIS2 is naar Nederlandse wetgeving.
Dat zou inderdaad een verklaring kunnen zijn. Maar dan nog had ik er op z'n minst een verwijzing naar verwacht.
Het is de verklaring, zo begreep ik uit de gesprekken die ik voerde met het NCSC toen zij dit model aan het toetsen waren. De verwachting is dat NIS2 niets meer gaat betekenen, maar de lokale wet die er komt. Puur van naam, heb ik het dan over.
Ok! Weet jij toevallig dan ook of de (NLse vertaling van) NIS2 wordt geïntegreerd in de nieuwe BIO?
Bor Coördinator Frontpage Admins / FP Powermod 19 april 2024 09:12
Goed dat hier aandacht aan wordt besteed. Je merkt bij veel bedrijven dat supply chain risico's niet worden onderkent of te laag worden ingeschat. Ik lees hier veel commentaar maar vraag bij daar ook bij af hoe jullie het dan hadden aangepakt. Dit is geen "harde" binaire wetenschap.
Helemaal eens, het gaat om de som der delen.

[Reactie gewijzigd door Ossebol op 23 juli 2024 00:24]

Wordt de hardware ontwikkeld of onderhouden door een leverancier uit land X?
Aangezien vrijwel alle hardware momenteel geproduceerd wordt in Chinese fabrieken, zal dit bijna altijd een "Ja" opleveren. Regelmatig worden er hardware backdoors gevonden in diverse hardware. Daarnaast is deze "check" echt veel te basaal.

Wat dacht je van de potentiële backdoors in bijvoorbeeld netwerk apparatuur uitbesteed aan Huawai? Wellicht zijn netbeheerders van Huawei appratuur bij de core af maar bij de edge is dergelijke apparatuur nog altijd aanwezig. Daar is nog heel veel mogelijk: afluisteren, tracken en platleggen. Hoe goed je eigen bedrijfsvoering ook is, als het nationale netwerk niet op orde is dan zal je het gehele supply chain nooit veilig kunnen stellen.
In het voorbeeld staat waarschijnlijk niet voor niets dat afhankelijk van het antwoord vervolgonderzoek verstandig is.

Natuurlijk kunnen we klagen dat de "check" veel te basaal is, maar hoeveel bedrijven kennen we waar men duidelijk met deze basale vragen bezig is als ze producten en services inkopen en gebruiken? Als we heel erg afhankelijk willen zijn zal er dus ook duidelijk genoeg over de basale risico's nagedacht moeten worden.
In het verlengde van Huawei bedacht ik me laatst hoe dat zit met al die Chinese automerken die op de markt gebracht worden?

Allemaal uitgerust met camera's, microfoons, volledig Chinese OS/firmware en lekker smart oftewel remote aan te sturen.

Heb je als soldaat zo'n auto en rij je een legerbasis op? Op basis van geolocatie kunnen de camera's automagisch gaan opnemen om dit later te uploaden.

Wil je een land ontwrichten of breekt er oorlog uit? Blokkeer alle auto's van militairen, hulpdiensten en/of overheidsmedewerkers, zodat deze naar een alternatief vervoersmiddel moeten zoeken.

Nee, ik vertrouw liever op andere merken die niet uit een land komen dat bekend staat om zijn malafide cyberpraktijken en intern voor hun surveillance- en censuurstaat.
Ik ben benieuwd. Bedrijf X koopt via tussenhandelaren A en B, bij bedrijven C (in Frankrijk) en D (in China). Het bedrijf heeft een payroller E, banken D en F. Incasso bedrijf G besteed het uit aan ZZP-er H.

Dus het bedrijf krijgt een lijst met "mogelijke risico's" waar het weinig mee kan? Dus er is 30% kans op een serieus risico bij de Chinese leverancier. En dan? Andere leverancier zoeken?

Dit lijkt me weer zo'n papieren "werkelijkheid" waar de overheid zo dol op lijkt te zijn. Alles netjes in diagrammen. "Iemand" moet dat natuurlijk bijwerken naar de actuele situatie, dat kost weer veel geld.
Daarnaast moeten we simpelweg niet denken: Chinese leverancier = slecht… daarnaast kun je zonder een device te bekijken er vanuit gaan dat 80% minstens made in China is dus zou iedereen inclusief m’n schoonmoeder een cybercheck failure point hebben…
Het probleem is niet dat een Chinese leverancier slechtere producten zou leveren, het probleem is dat China als land niet te vertrouwen is en de overheid daar bedrijven volledig onder controle heeft.
Persoonlijk vind ik dat exact hetzelfde geldt voor ieder ander land buiten de EU, maar China gaat wel ver in het niet meedoen met mensenrechten e.d. en het censureren van alles waar ze controle over kunnen uitoefenen.

[Reactie gewijzigd door Oon op 23 juli 2024 00:24]

Het gaat niet om slecht, naar verdacht. En een failure point? Zo'n check is een check, het begin van verder onderzoek of niet.

Ik zou zeggen, open het document eens, je vindt het via de link in het artikel...
Wie zegt dat die Nederlander van dat Nederlandse bedrijf niet even voor China wat wilt bijklussen.

[Reactie gewijzigd door elmuerte op 23 juli 2024 00:24]

Misschien zie ik dit over het hoofd maar ik kan nergens een lijst met landen vinden van hun kant die een offensief cyberprogramma voeren. Vraag me af wat het nut van deze flow is zonder deze input?
Wat een enorme wassen neus is dit toch. Awareness is goed, maar dit geeft juist een vals gevoel van veiligheid. Een Nederlandse software-ontwikkelaar trekt bij elke build van z'n web-app een hele diarree een NPM-dependencies binnen. Elke Linux-distro zou over enkele weken de XZ-backdoor hebben bevat als het niet toevallig was gevonden. Etcetera. Dit stroomschema gaat dat allemaal niet zomaar ondervangen.
Dit stroomschema is een tool in de toolkit, net als Snyk dat is voor NPM, en de stable build dat is voor Debiangebaseerde distro's. Het gaat erom dat je de problemen kunt isoleren en genoeg checks and balances kunt inbouwen.
Bor Coördinator Frontpage Admins / FP Powermod @intoxicated19 april 2024 10:28
Hoe geeft een stroomschema met vragen waarbij je altijd zelf ook een risico afweging moet maken een vals gevoel van veiligheid? Met het huidige schema is het behoorlijk lastig om uiteindelijk op "nee" uit te komen in de meeste gevallen.
Dit is toch retorisch? Welke spullen uit het stappenplan komen nu niet uit Amerika en China?

Met alle richtlijnen, normenkaders en wet en regelgeving (avg, nis2, dora) zou je als organisatie gewoon je iso27001 moeten doen. Dan komt dit allemaal aan het licht, o.a. bij leveranciersmanagement.

Ik vind het goed dat het NCSC ons voorlicht, echter vind ik dit een beetje een open deur..
In Nederland maken we nog wel wat specialistische hardware. En in Duitsland bijv redelijk wat hardware gericht op de auto industrie.

Ik vermoed dat het een beetje afhankelijk is vd branch in hoeverre dit nuttig zal zijn. Zo heb ik ooit eens gekeken naar de implicaties om een volledig datacenter te bouwen o.b.v. hard en software uit Europa en dat is praktisch onmogelijk (bedrijven datacenter, geen Telecom oid).
Het is een open deur voor mensen die er kennis van hebben. Heel veel bedrijven hebben deze kennis niet. En dergelijke tools zijn vooral gericht op kleinere bedrijven, laten we zeggen <100 mensen. Ik zet dit soort tools in bij deze bedrijven om het management te informeren, en dat is exact wat het NCSC hiermee probeert.

De bedrijven met dedicated security teams hebben hier al processen voor ingericht. Maar helaas zijn dat te weinig bedrijven en word ik wekelijks meerdere keren ingevlogen in Europa om bedrijven te helpen bij het oplossen van security incidenten.
ISO nee dat zegt wat, bij ons niet ieg :D
Dat zegt vooral dat je niet helemaal weet wat er bij een audit wordt gedaan.
Helaas ik ben al een jaar of 14 betrokken bij ISO audits en het niveau is gewoon zeer bedroevend.
De ISO27001 komt je echt met twee vingers door je neus heen momenteel zo slecht is de kwaliteit van de auditors.
Bor Coördinator Frontpage Admins / FP Powermod @HKLM_19 april 2024 09:15
Dit is gewoonweg niet waar. Een ISO27001 certificaat behaal je niet zo maar en krijg je zeker niet "wanneer je een pakje boter bij de supermarkt koopt". Dat de kwaliteit van auditors verschilt is niet zo raar gezien het afnemen van een audit mensenwerk is en blijft maar over de lijn gezien is er wel een bepaald kwaliteitsniveau gezien je niet zomaar aan de gang kan en mag met het uitdelen van ISO 27001 certificaten. Daarbij moet je je natuurlijk ook altijd afvragen hoe open en eerlijk het geaudite bedrijf meewerkt. Je hebt een ISMS niet voor een certificaat maar omdat je serieus met informatiebeveiliging bezig wilt zijn.

Onderdeel van ISO27001 is leveranciersmanagement waar supply chain ook onder valt. Daar kan dit handvat sommige organisaties vast en zeker bij helpen. Ik merk zelf dat dit vaak een ondergeschoven kindje is helaas. Hoewel de cybercheck beperkt is kan het bedrijven zeker inzicht en een handvat geven.

[Reactie gewijzigd door Bor op 23 juli 2024 00:24]

Daarbij moet je je natuurlijk ook altijd afvragen hoe open en eerlijk het geaudite bedrijf meewerkt. Je hebt een ISMS niet voor een certificaat maar omdat je serieus met informatiebeveiliging bezig wilt zijn.
Mijn probleem is dat ik daar dus niet op kan vertrouwen. Het is te makkelijk om auditors om de tuin de leiden en er nog steeds een hoop organisaties die security vooral als vervelende plicht zien en hun ISMS dus zo mininimaal mogelijk inrichten.

Het is een mooi systeem als je zelf wil weten hoe het staat, maar het is niet genoeg om te bewijzen dat je je zaakjes goed voor elkaar hebt. Ik heb teveel crap gezien van ISO27001-gecertificieerde organisaties om daar op te vertrouwen.

Het probleem zit ook wel in de interpretatie, bij de lezer/ontvanger, die moet beseffen dat ISO27001 niet bedoeld is als 100%-waterdichte security controle op alle mogelijke gebieden. Als je het wel zo behandelt dan zal je teleleurgesteld gaan worden, en er zijn er een hoop die schermen met hun ISO27001 als enige antwoord op alle vragen.

Verder zie ik regelmatig dat ze niet beseffen dat niet het hele bedrijf is gekeurd maar slechts een onderdeel.
Nog erger is "onze leveranier heeft iso27001" zonder verdere toelichting.

Dat is allemaal niet de schuld van ISO27001 maar van de gebruikers, maar ik vind dat het te veel aandacht krijgt voor wat het in praktijk waard is.
Even bot gezegd het is ook niet meer dan een kwestie van "deze regels hebben we opgesteld voor onze security" en de auditor controleert of jij je aan die regels conformeert en dit documenteert daar waar beschreven is dat dit moet.

Gelukkig nemen veel bedrijven het wat serieuzer dan dat maar ISO 27001 is een van de eenvoudigste certificaten om te halen.
Dit heb ik echt niet zo meegemaakt, maar dat waren voornamelijk Auditors uit de UK en die waren extreem streng.

Uiteindelijk ligt het er ook allemaal aan wat je in je policies zet en allemaal naleeft. Ene bedrijf gaat hier maximaal diep in, andere accepteerd wat meer risico's.
De kans dat alle vragen met NEE worden beantwoord is NIHIL, sowieso is risico analyse altijd de moeite waard ook bij NL leveranciers dus het hele schema is bogus.
Bor Coördinator Frontpage Admins / FP Powermod @Vaevictis_19 april 2024 10:01
Dat is niet geheel waar. Er zijn legio voorbeelden van producten die bijvoorbeeld geheel worden ontwikkeld vanuit Nederland of een ander vertrouwd land. De vraag is meer waar je de grens legt. Is een chip uit een land met een offensief cyberprogramma een probleem en showstopper of kijk je naar het geheel en probeer je zo goed mogelijk de risico's te beheersen? Informatiebeveiliging is geen exacte wetenschap. De risico's die je wilt en kan nemen zijn per bedrijf en situatie verschillend.

Op dit item kan niet meer gereageerd worden.