Cybercheck brengt supply chain-risico’s in kaart
Landen met een offensief cyberprogramma kunnen tijdens de ontwikkeling of het onderhoud van producten en diensten ongeoorloofd invloed uitoefenen op de supply chain. Dat brengt risico’s voor Nederlandse organisaties met zich mee. Die waarschuwing doen inlichtingendienst AIVD, het Nationaal Cyber Security Centrum (NCSC), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en CIO Rijk. Met een door hen gelanceerde ‘Cybercheck’ kunnen deze supply chain-risico’s in kaart worden gebracht.
Via een app op een smartphone, het gebruik van bewakingscamera’s of routers en switches kunnen landen met een offensief cyberprogramma zich ongeoorloofd toegang verschaffen tot de technische infrastructuur van organisaties. Als dit leidt tot een incident in een organisatie die vitale processen ondersteunt, raakt dat niet alleen die organisatie zelf, maar mogelijk ook de nationale veiligheid van Nederland. De overheidsdiensten willen daarom de aandacht vestigen op de risico’s van producten en diensten uit landen met zo’n offensief cyberprogramma.
De nu gelanceerde Cybercheck is bedoeld voor het inventariseren en beheersen van supply chain-risico’s van producten en diensten uit landen met een offensief cyberprogramma. Landen met een dergelijk programma zijn volgens de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) bijvoorbeeld China, Rusland en Iran. Als onderdeel van de Cybercheck moeten organisaties kijken of bepaalde software, firmware, hardware of een bepaald besturingssysteem wordt ontwikkeld of onderhouden door een leverancier uit een dergelijk ‘risicovol’ land.
Stappenprogramma Cybercheck
‘Voor het digitaal veilig functioneren van onze samenleving is het belangrijk dat organisaties oog hebben voor deze risico’s in hun supply chain’, aldus de overheidsdiensten. Het doorlopen van een stappenprogramma van de Cybercheck kan duidelijkheid verschaffen over een mogelijk verhoogd veiligheidsrisico bij de inzet van een bepaald product of een bepaalde dienst. Die risico’s bestaan bijvoorbeeld uit een bewust geplaatste backdoor (een functie in de programmatuur om een beveiligingsmechanisme te omzeilen) of kwetsbaarheid of een malafide update van de software. Bovendien kan er spionage plaatsvinden op data die standaard naar de leverancier verzonden worden of sabotage van een product of dienst. De Cybercheck beschrijft ook welke risico’s dat met zich meebrengt en wat ondernemers daaraan kunnen doen.
Download de Cybercheck van het Nationaal Cyber Security Centrum van het Ministerie van Justitie en Veiligheid hier.