Cybercheck: ook jij hebt supply chain risico’s!
Voor het digitaal veilig functioneren van de Nederlandse samenleving is het belangrijk dat organisaties oog hebben voor risico’s in hun supply chain. Dat geldt zeker voor publieke en private organisaties die over zogenoemde Te Beschermen Belangen (TBB) ten aanzien van de Nationale Veiligheid (NV) beschikken. Voor deze organisaties hebben de AIVD, CIO Rijk, het NCSC en de NCTV de Cybercheck ontwikkeld: een handreiking die helpt bij het in kaart brengen van mogelijke supply chain risico’s als gevolg van de inzet van producten en diensten afkomstig uit landen met een offensief cyberprogramma.
Een app op een smartphone, het gebruik van bewakingscamera’s, of routers en switches: de laatste jaren is er steeds vaker aandacht voor de risico’s van producten en diensten uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen. Sommige landen kunnen op grond van wetgeving bedrijven en burgers in hun land verplichten tot medewerking, bijvoorbeeld door ze te dwingen ‘digitale achterdeurtjes’ in hun product of dienst in te bouwen. Hiermee kunnen landen ongeoorloofd toegang verkrijgen tot (delen van) de technische infrastructuur van een organisatie die gebruik maakt van deze producten of diensten. Als dit bijvoorbeeld leidt tot een incident in organisaties die vitale processen ondersteunen, dan raakt dat niet alleen de organisatie zelf, maar mogelijk ook de nationale veiligheid van Nederland.
Handvatten
Het inventariseren en beheersen van supply chain risico’s is van groot belang voor het digitaal veilig functioneren van zowel organisaties als de Nederlandse samenleving. De Cybercheck biedt handvatten om te inventariseren of de inzet van een bepaald product of dienst afkomstig uit een land met een offensief cyberprogramma mogelijk tot een verhoogd beveiligingsrisico leidt. Is dat het geval, dan is het advies om een aanvullende risicoanalyse uit te voeren. Ook voor deze analyse biedt de Cybercheck handvatten. Met behulp van deze aanvullende risicoanalyse kunnen organisaties verhoogde beveiligingsrisico’s als gevolg van de inzet van een product of dienst gerichter onderzoeken.
Eigen verantwoordelijkheid
De Cybercheck is een hulpmiddel; de handreiking doet geen sluitende uitspraken over de vraag of producten en diensten wel of niet ingezet mogen worden. Het management van een organisatie is zelf eindverantwoordelijk voor het nemen van een besluit over de inzet van de betreffende producten en diensten uit landen met een offensief cyberprogramma.
Overige publicaties
- Omgaan met risico's in de toeleveringsketen | Publicatie | Nationaal Cyber Security Centrum (ncsc.nl)
- Factsheet Risico's beheersen: de waarde van informatie als uitgangspunt. | Factsheet | Nationaal Cyber Security Centrum (ncsc.nl)
- AIVD-publicatie 'Offensief cyberprogramma een ideaal businessmodel voor staten' | Publicatie | AIVD
- Publicatie AIVD/MIVD: Cyberaanvallen door statelijke actoren - zeven momenten om een aanval te stoppen | Publicatie | AIVD
- Toolbox veilig inkopen (2024) | Economische veiligheid | Nationaal Coördinator Terrorismebestrijding en Veiligheid (nctv.nl)
- ICO Wizard - bio-overheid