image

Britse overheid: stel vragen over cybersecurity van leveranciers

vrijdag 18 december 2020, 15:03 door Redactie, 8 reacties

De "supply chain" aanval via de software van SolarWinds heeft aangetoond hoe belangrijk het is voor organisaties dat leveranciers hun cybersecurity op orde hebben. "Eén ding dat je niet kunt outsourcen is de verantwoordelijkheid voor de security van je leveranciers", zo stelt het Britse National Cyber Security Centre (NCSC).

Het NCSC heeft daarom vragen over verschillende veiligheidsgerelateerde onderwerpen opgesteld die organisaties aan hun leveranciers kunnen stellen. Het gaat dan bijvoorbeeld of de leverancier over mensen en processen beschikt die verantwoordelijk voor cybersecurity zijn, hoe er in het geval van beveiligingsincidenten wordt gereageerd, hoe de leverancier zijn netwerk beveiligt, of de leverancier remote verbindingen naar zijn netwerk toestaat en hoe er wordt omgegaan met Bring Your Own Device (BYOD).

Ook kunnen organisaties vragen of hun leveranciers penetratietests en security-audits laten uitvoeren en gevonden problemen ook verhelpen, hoe de fysieke beveiliging is geregeld, of het personeel wordt gescreend, er security-awarenesstrainingen bij de leverancier plaatsvinden en hoe er met klantgegevens wordt omgegaan.

Aan de hand van de gegeven antwoorden kunnen organisaties dan bepalen of dit aan hun eisen voldoet. Het risico kan van verschillende factoren afhankelijk zijn, bijvoorbeeld of de leverancier direct of indirecte toegang tot het netwerk van de organisatie heeft en of de leverancier een 'single point of failure' is. Het NCSC waarschuwt dat het hier niet om een checklist gaat. "Een aanpak die alleen uit afvinken bestaat leidt vaak tot een vals gevoel van cybersecurity", zo stelt de Britse overheidsinstantie.

Reacties (8)
18-12-2020, 15:29 door Erik van Straten
Sja. Als zelfs FireEye en Microsoft deze vragen niet stellen of zich laten voorliegen, wat moet je dan bijv. als MKB-er?
18-12-2020, 22:05 door Anoniem
Door Erik van Straten: Sja. Als zelfs FireEye en Microsoft deze vragen niet stellen of zich laten voorliegen, wat moet je dan bijv. als MKB-er?
Wat kort door de bocht om te suggereren dat de vragen niet gesteld zijn of dat ze zich hebben laten voorliegen.

Ik verwacht zelfs dat SolarWinds dit allemaal keurig heeft geïmplementeerd. Er is maar één 'domme' beheerder nodig om een updateserver met het wachtwoord 'solarwinds123' en zonder two-factor te configureren dit zijn de gevolgen.....
Helaas ken ik teveel organisaties die het op papier allemaal keurig op orde hebben en ook probleemloos alle audits van de gerenommeerde bureaus doorlopen, maar waar het op de vloer simpelweg niet op orde is.
Kijk even dichter bij huis, Diginotar. Allemaal keurig op orde en met vlag en wimpel door de audits. Maar een kabeltje dat onder een plint verstopt was leidde tot de ondergang van DigiNotar en heel veel ellende bij vooral Nederlandse overheidsorganisaties.

Ik ben wel volledig met je eens dat je niet kan en mag verwachten dat elke willekeurige MKB'er dit kan voorkomen.

Belangrijkste les die uit deze case getrokken kan worden, is dat SolarWinds extreem nalatig is geweest. Ze hebben in juli/augustus al geweten dat ze gehackt zijn en dit al die tijd 'onder de pet' gehouden.
FireEye heeft laten zien het hoe het wel moet: Direct 'met de billen bloot' en transparant over wat er aan de hand is. Als SolarWinds in juli gelijk met de billen bloot was gegaan, was er heel veel ellende voorkomen.

Als je als overheid iets wil doen om dit te voorkomen, dan moet je het 'onder te pet houden' van hacks strafbaar stellen. Hacks 'onder de pet' houden is wat mij betreft hetzelfde als boekhoudfraude (a la Enron)
19-12-2020, 17:56 door Anoniem
Het zou goed zijn als er een Nederlandse standaard komt waar leveranciers tegen getoetst worden.
Als je op dit moment als klant vraagt om een lijst met vragen in te vullen kost dat de leverancier een hoop tijd. Dus gebeurd het vaak niet of betaal je als klant ineens meer voor je product.

Zouden we in heel Nederland een standaard lijst gebruiken dan komen we al een stuk verder. Dan kan de leverancier zich daar veel beter op kunnen voorbereiden en kunnen wat specifieke vragen makkelijker met meer aandacht worden beantwoord.

Denk aan vragen zoals:
* Is de software recent ge-pen-test, incl. rapportage.
* Beschikt het bedrijf over een (publiek) responsible disclosure programma?
19-12-2020, 19:35 door Anoniem
Sjonge jonge.. weer een lijst van vragen die in een spreadsheet opgenomen zullen gaan worden. En daarmee een nutteloze lijst wordt uiteindelijk.

Veel beter is om het te vragen “Hoe gaan jullie om met Risico’s?” Met daar als subvragen bij “hoe identificeren jullie risico’s, hoe classificeren, hoe mitigeren, wat is risk cultuur etc.” Dat draagt beter bij dan gewoon een lijst van controls.

SolarWinds had (heeft) dus een onvolwassen houding t.a.v. Risk Management. Daar moet in 1e instantie iets aan gedaan worden.
20-12-2020, 09:47 door Anoniem
Door Anoniem: SolarWinds had (heeft) dus een onvolwassen houding t.a.v. Risk Management. Daar moet in 1e instantie iets aan gedaan worden.
Kan je dat concluderen? Misschien hebben en hadden ze wel degelijk een zeer volwassen houding in risicobeheer, maar houd je altijd een restrisico over en kan een zeer kundige en aanhoudende aanvaller zelfs aan een heel klein restrisico voldoende hebben om op een gegeven moment binnen te dringen. Dat Solarwind niet robuust genoeg is gebleken is duidelijk, maar dat dat meteen betekent dat ze een onvolwassen houding hadden vind ik een twijfelachtige conclusie.

Je kan nog zo goed en professioneel zijn in je kennis van ICT-beveiliging, dat garandeert niet dat er nergens mensen rondlopen die nóg beter zijn en die dingen weten of snappen die jij mist. Verder hoeft een aanvaller zich niet op alles in je systemen te richten maar kan die heel gericht proberen één manier van toegang verkrijgen tegelijk uit te diepen, terwijl degenen die verantwoordelijk zijn voor de verdediging ertegen zich op alle denkbare manieren van toegang verkrijgen tegelijk moeten richten, want je weet nooit wat je aanvallers gaan proberen. Zelfs bij gelijke vaardigheden levert dat een ongelijke strijd op waarin de aanvallers een voordeel hebben.
20-12-2020, 10:53 door Anoniem
+1 aan anoniem van vandaag 9.47

Zie ook
 https://blog.reversinglabs.com/blog/sunburst-the-next-level-of-stealth
(van 1ste reageerder  op https://www.security.nl/posting/682662/Microsoft%3A+aanvallers+SolarWinds+waren+al+in+oktober+2019+actief)
 Waarin wordt uiteengezet hoe de hackers geduldig en zeer professioneel te werk gingen.

Dit soort vragen stellen aan leveranciers kunnen dan ook door hackers gesteld  worden (phising!) om meer inside-info te weten te komen om de zwakke plekken te inventariseren. Ook al heeft de leverancier zich verzekert met een daadwerkelijke klant te maken te hebben, is het een risico informatie over welk gebruik van software en risico-voorkoming -/ afhandeling aan derde te verkondigen.
21-12-2020, 00:23 door Anoniem
Er komt een dag dat bedrijven zelf weer willen investeren in hun eigen ICT (security) kennis en personeel zodat men daar ook goede verantwoordelijkheid over kan nemen.... i.p.v. uitbesteden, cloud als niet onderbouwde visie hebben, gladde verkopers, alles maar bij big tech.... de dag dat die trend voorbij is en weer gezien word als aanvulling i.p.v. een doel op zich, is een memorabele dag.

Uiteraard is cloud niet per definitie slecht maar de wijze waarop incompetent management de verantwoording graag afschuift moet maar eens ophouden. En als je dan veel uitbesteed zorg dan in ieder geval dat je je controle processen op orde hebt (en ja daarvoor moet je ook ICT kennis in huis hebben... sorry "ik wil geen verantwoordelijkheid dragen management van 2020")
21-12-2020, 08:03 door Anoniem
Door Anoniem:
Door Anoniem: SolarWinds had (heeft) dus een onvolwassen houding t.a.v. Risk Management. Daar moet in 1e instantie iets aan gedaan worden.
Kan je dat concluderen? Misschien hebben en hadden ze wel degelijk een zeer volwassen houding in risicobeheer, maar houd je altijd een restrisico over en kan een zeer kundige en aanhoudende aanvaller zelfs aan een heel klein restrisico voldoende hebben om op een gegeven moment binnen te dringen. Dat Solarwind niet robuust genoeg is gebleken is duidelijk, maar dat dat meteen betekent dat ze een onvolwassen houding hadden vind ik een twijfelachtige conclusie.

Je kan nog zo goed en professioneel zijn in je kennis van ICT-beveiliging, dat garandeert niet dat er nergens mensen rondlopen die nóg beter zijn en die dingen weten of snappen die jij mist. Verder hoeft een aanvaller zich niet op alles in je systemen te richten maar kan die heel gericht proberen één manier van toegang verkrijgen tegelijk uit te diepen, terwijl degenen die verantwoordelijk zijn voor de verdediging ertegen zich op alle denkbare manieren van toegang verkrijgen tegelijk moeten richten, want je weet nooit wat je aanvallers gaan proberen. Zelfs bij gelijke vaardigheden levert dat een ongelijke strijd op waarin de aanvallers een voordeel hebben.

Eens, je zult altijd kwetsbaar blijven. Maar om te stellen dat het een restrisico was..
Bij een restrisico ga je monitoren. En niet op je lauweren zitten en dan een jaar later weer het risk register openen om je rest risico's weer eens in te schatten.

Risico Management = Daily Task! Daily!1!!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.