Overheid onderzoekt extra maatregelen voor uitsluiten Chinese apparatuur
Het ministerie van Economische Zaken onderzoekt extra maatregelen voor het uitsluiten van Chinese apparatuur bij aanbestedingen van de rijksoverheid. Daarnaast worden in het tweede kwartaal de resultaten bekend van een scan naar het gebruik van Chinese apparatuur binnen de vitale infrastructuur. Dat schrijft staatssecretaris Van Huffelen van Digitalisering in een brief aan de Tweede Kamer.
Vorig jaar werd een motie van de PVV en VVD aangenomen die het kabinet vraagt om te onderzoeken hoe apparatuur en programmatuur van organisaties uit landen met een tegen Nederland gerichte offensieve cyberagenda geweerd kunnen worden uit aanbestedingen van de rijksoverheid. Daarnaast wordt er gevraagd om een scan naar het gebruik van apparatuur uit deze landen door de vitale Nederlandse infrastructuur.
Het kabinet voert bij aanbestedingen een "landenneutraal beleid", zo laat Van Huffelen weten. Dit houdt in dat leveranciers uit specifieke landen door de aanbestedende dienst niet op voorhand categorisch worden uitgesloten, maar dat dit per geval op basis van een risicoafweging wordt bepaald. De aanbestedingsregelgeving biedt overheden al een aantal mogelijkheden om bij de inkoop van apparatuur of programmatuur bepaalde leveranciers op basis van een risicoafweging te weren.
Overheidsorganisaties beschikken over verschillende middelen om de risico's van een bepaalde leverancier in kaart te brengen. Deze middelen, zoals een quikscan, handleiding voor risicoanalyse en handvatten voor risicobeheersing, worden dit jaar nog verder aangescherpt. Het is de verwachting dat dit voor de komende zomer is afgerond.
Daarnaast onderzoekt het ministerie van Economische Zaken welke extra maatregelen nodig en effectief zijn voor het uitsluiten van bepaalde landen bij aanbestedingen. De AIVD heeft onder andere China, Rusland, Iran en Noord-Korea aangemerkt als landen met een offensief cyberprogramma. Het is van deze landen vooral China dat hardware en software levert waar de rijksoverheid of vitale infrastructuur gebruik van maakt.
"Vanwege de serieuze dreigingen die uw Kamer en ook het kabinet signaleren acht ik het van belang dat aanbestedende diensten zich bewust zijn van de risico’s en dat zij op de hoogte zijn van de mogelijkheden die de aanbestedingsregelgeving biedt om die risico’s te beheersen. Het kabinet wil extra inzetten op voorlichting hierover", zo stelt Van Huffelen verder, die ook wijst naar de verantwoordelijkheid van de organisaties die een uitbesteding uitvoeren.
Verkeer van en naar China blokkeren zou al helpen.
We weten dat Amerikaanse bedrijven backdoors (moeten) maken in kun apparaten.
Verkeer van en naar de VS blokkeren maakt het leven een stuk ingewikkelder.
Verkeer van en naar China blokkeren zou al helpen.
Dat is natuurlijk te dom voor woorden, denken dat verkeer naar CN blokkeren helpt voor serieuze backdoors.
Iedere malware groep, de Noord Koreanen, en alle andere state actors die (soms) betrapt laten hun verkeer al via een serie devices in diverse westerse of andere neutrale landen lopen.
Werkelijk denken dat een eventuele Chinese backdoor (of een US backdoor) herkenbaar is aan rechtstreeks verkeer naar Chinese adressen (of naar .mil domeinen) - get real.
Bedenk maar - iedereen hier die zo juicht dat Tor , of eigen VPN constructies, of proxy netwerk, of via pastebin, of Ukraine dat online blijft - het werkt precies zo goed voor andere actoren die informatie naar huis moeten krijgen.
Of zouden ze (ook hier) meten met 2 maten?
Eerst alles in China produceren, dan weer alles afbreken.
Niemand, die het in de gaten heeft. Welke tools heeft de burger tegen een ontsporend bewind? Negatie. Do not feed this Monster.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!