Westerse leverancier ook geen garantie voor vermindering spionage

Het is belangrijk dat bedrijven, vooral binnen de kritieke infrastructuur, ervan uit gaan dat ze gehackt zijn of gehackt kunnen worden

Westerse leverancier ook geen garantie voor vermindering spionage

Telecom provider KPN gaat in zee met het Chinese Huawei voor de aanleg van het 5G-netwerk in Nederland. KPN laat weten dat de aanleg verdeeld wordt onder twee verschillende partijen. Huawei is verantwoordelijk voor de aanleg van het basisnetwerk, maar is niet betrokken bij de core, het beveiligingsgevoelige gedeelte, van het netwerk. Dat gedeelte wordt door een nader te bepalen Westerse partij aangelegd.

Frank Groenewegen, Chief Security Expert bij Fox-IT, vertelt in een de radio uitzending van NPO1 over de verdeling van de aanleg. “Je kunt het internet vergelijken met een verzameling van straten en snelwegen die aan elkaar gekoppeld zijn. Als je informatie wilt versturen zal je, net als met een auto, de weg op moeten om iets van A naar B te versturen. Op de weg heb je grote knooppunten. Bijvoorbeeld als je van Amsterdam naar Den Haag rijdt over de A4 heb je verschillende knooppunten waar snelwegen bij elkaar komen. Deze knooppunten zijn de core gedeelten waar het over gaat,” zegt Frank Groenewegen. “Op die grote knooppunten komt er heel veel internetverkeer bij elkaar. Het is belangrijk dat op dat moment alles goed bij elkaar komt en vervolgens op de juiste bestemming terecht komt. Voor het aanleggen van deze knooppunten wordt er voor een andere leverancier gekozen.”

Maar het kiezen voor een Westerse leverancier is natuurlijk geen garantie dat er niet gespioneerd kan worden. De kans op spionage wordt wellicht wat verminderd, maar we moeten niet naïef zijn. In de discussie gaat het vaak over achterdeurtjes, maar statelijke actoren hebben voldoende andere middelen en mogelijkheden om te spioneren. Vaak beschikken zij over ongelimiteerde mogelijkheden en kennis om hun doel te bereiken.

Het is daarom dus belangrijk dat bedrijven, vooral binnen de kritieke infrastructuur, ervan uit gaan dat ze gehackt zijn of gehackt kunnen worden. De kritieke punten moeten extra beschermd worden en daarvoor is juist onafhankelijke controle en toetsing nodig. “Denk aan andere branches, zoals de auto industrie. Als nieuw merk kun je niet zomaar een auto op de markt brengen. Zo’n auto moet door allerlei onafhankelijke tests heen. Dat hackers vandaag de dag binnen kunnen komen is niet spannend meer, als je het ons vraagt, het gaat er juist om dat je ze eruit haalt voordat ze hun doel bereikt hebben door goede detectie. Op papier kan je ook zeggen dat een auto veilig is, maar door middel van onder andere crashtests en helaas soms ongelukken in de praktijk blijft dit continue onder de aandacht. Het is een vaak een moment opname, dus moet zo’n test van tijd tot tijd herhaald worden. Op zo’n toets moment wordt ook vaak duidelijk of de mitigerende maatregelen nog voldoen aan de actuele dreiging,” zegt Groenewegen.

Als het gaat om kritieke infrastructuur, waar we als individu zo enorm afhankelijk zijn, moet je als bedrijf iemand niet simpelweg op zijn blauwe ogen vertrouwen. Onafhankelijke controle met toetsingen, met de juiste kaders en wet en regelgeving is de enige manier om de risico’s te minimaliseren. Het is wel van belang dat die partijen dan weten waartegen zij zich moeten beschermen en dat deze informatie up-to-date is. Een goede risicoanalyse is daarvoor cruciaal, wie zijn mijn digitale tegenstanders en op welke manier vallen die aan? Dat gaat vandaag de dag om de hele keten waar naar gekeken moet worden en ook niet alleen over techniek, maar ook over de processen, de mens en dus bijvoorbeeld naar de toeleveranciers.

Luister de uitzending terug op NPO Radio 1

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft