image

Overheid komt met 'Cybercheck' voor in kaart brengen supply chain risico’s

donderdag 18 april 2024, 14:39 door Redactie, 4 reacties

Landen met een offensief cyberprogramma kunnen tijdens de ontwikkeling of het onderhoud van producten en diensten invloed uitoefenen op de supply chain, wat risico's voor Nederlandse bedrijven en organisaties met zich kan meebrengen, zo waarschuwen inlichtingendienst AIVD, het Nationaal Cyber Security Centrum (NCSC), de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en CIO Rijk. De overheidsdiensten hebben vandaag de 'Cybercheck' gelanceerd voor het in kaart brengen van supply chain risico's.

"Producten en diensten bereiken Nederlandse organisaties inmiddels vanuit de hele wereld. Als de inzet van deze producten en diensten bijvoorbeeld leidt tot een incident binnen organisaties die vitale processen ondersteunen dan raakt dat niet alleen de organisatie zelf, maar kan ook de nationale veiligheid van Nederland geraakt worden", zo laten de diensten weten. "Het inventariseren en beheersen van supply chain risico’s is in die gevallen van groot belang voor het digitaal veilig functioneren van zowel organisaties als de Nederlandse samenleving."

De Cybercheck is bedoeld voor het inventariseren en beheersen van supply chain risico’s van producten en diensten uit landen met een offensief cyberprogramma. Het gaat dan bijvoorbeeld om China, Rusland en Iran, die volgens de AIVD en MIVD een dergelijk programma hebben. Als onderdeel van de Cybercheck moeten organisaties kijken of bepaalde software, firmware, hardware of besturingssysteem wordt ontwikkeld of onderhouden door een leverancier uit een betreffend land. Als dit het geval is moeten de risico's met betrekking tot de beschikbaarheid, integriteit en vertrouwelijkheid worden geanalyseerd.

Die risico's bestaan bijvoorbeeld uit een bewust geplaatste backdoor of kwetsbaarheid, een malafide update van de software, spionage van data die standaard naar de leverancier verzonden wordt of sabotage van een product of dienst. Vervolgens moeten de resultaten van de risicoanalyse worden teruggekoppeld aan de personen die binnen de organisatie eindverantwoordelijk zijn voor het beheersen van digitale risico’s.

Image

Reacties (4)
18-04-2024, 15:49 door Anoniem
Wat heeft het er nu mee te maken dat een leverancier uit een ander land komt? Net of leveranciers uit Nederland of de EU niet gehackt kunnen worden. Ik heb nieuws voor die gasten in Den Haag, dat worden ze namelijk vrijwel dagelijks. Daarom moet je ook geen enkele leveranciers toegang geven tot je netwerk. Onderhoud doe je of zelf of je laat het doen onder begeleiding van beheer. Hoe ingewikkeld moet dat zijn? Ik snap dat veel bedrijven en overheden vrij lui zijn en het liever aan een leverancier overlaten. Dan krijg je dus effecten zoals het Hof van Twente o.i.d.. Netwerk op zijn gat, al je data versleuteld vanwege een oepsie van je leverancier en je eigen beheer. Gewoon niet doen! Zero trust all the way.
18-04-2024, 16:45 door Anoniem
Door Anoniem: Wat heeft het er nu mee te maken dat een leverancier uit een ander land komt? Net of leveranciers uit Nederland of de EU niet gehackt kunnen worden. Ik heb nieuws voor die gasten in Den Haag, dat worden ze namelijk vrijwel dagelijks. Daarom moet je ook geen enkele leveranciers toegang geven tot je netwerk. Onderhoud doe je of zelf of je laat het doen onder begeleiding van beheer. Hoe ingewikkeld moet dat zijn? Ik snap dat veel bedrijven en overheden vrij lui zijn en het liever aan een leverancier overlaten. Dan krijg je dus effecten zoals het Hof van Twente o.i.d.. Netwerk op zijn gat, al je data versleuteld vanwege een oepsie van je leverancier en je eigen beheer. Gewoon niet doen! Zero trust all the way.

Lees de een na laatste alinea nog eens. Daar staat het antwoord op je vraag.
18-04-2024, 17:17 door Anoniem
PS. De verenigde staten hebben ook een offensief cyberprogramma.
18-04-2024, 19:27 door Anoniem
Om even te reageren op de afbeelding bij dit artikel. Waar in het schema moet je Log4j en xz plaatsen? Twee recente voorbeelden dat het mis ging in de supply chain met een zeer grote impact op de gehele wereld.

Je kan jezelf wel blindstaren op een paar onbevriende landen, maar daarmee los je volgens mij het probleem niet op. Vooral niet als er sprake is van een False Flag operatie. Of het is een fout in de supply chain door slordig programmeren en zonder opzet. Dit laatste is het geval bij alle software van enige complexiteit.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.