CYBER SECURITY.
CYBER SECURITY.
Preventie
Inzicht
Cyberlab

Kunnen bedrijven nog wel Chinese of Russische technologieën gebruiken?

19 maart, 2019

 

Recent was de Chinese telecomgigant Huawei in het nieuws omdat diverse landen en hun overheden bezorgd waren over de veiligheid van de producten van de fabrikant. Zo hebben Australië, Nieuw-Zeeland en de Verenigde Staten Huawei verboden om apparatuur te leveren voor hun toekomstige 5G-netwerken. Ook de Russische cybersecurity-specialist Kaspersky kampt met reputatieproblemen, nadat de overheid van de Verenigde Staten het bedrijf beschuldigde van het helpen van de Russische geheime dienst en de software in de ban deed. Terechte zorgen of niet? En moet je als Nederlands bedrijf nog wel de technologieën en diensten uit landen gebruiken met wie we op wat minder ontspannen voet staan?

Een hack ligt op de loer.

Dat Nederlandse bedrijven en overheidsinstanties een zeer reëel risico lopen om aangevallen te worden door Chinese en Russische hackers, is geen vermoeden, maar een feit. Maar of de belangrijke technologieleveranciers uit deze landen ook daadwerkelijk gecompromitteerd zijn, is minder duidelijk. Deze bedrijven hebben er immers een heel groot commercieel belang bij om als betrouwbaar te worden ervaren. Op het moment dat er in software van Kaspersky bijvoorbeeld spionage-software van de Russische overheid wordt aangetroffen, dan zal dat het einde betekenen van de internationale verkopen van het bedrijf. Hetzelfde geldt voor Chinese fabrikanten van mobiele apparatuur: ze verdienen hun geld voor een groot deel aan wereldwijde klanten en hebben een reputatie die op het spel staat.

Er is geen bewijs voor spionage door Huawei.

Wil dat zeggen dat de recente beschuldigingen en vermoedens van landen en hun overheden onterecht zijn? Er is immers nooit onweerlegbaar bewijs gevonden voor hackpogingen of spionage door dit soort fabrikanten. Maar dat is ook weer geen sluitend bewijs voor het tegendeel. Ook al kunnen we niets vinden in de code van Kaspersky, het kan wel degelijk zo zijn dat de software bepaalde virussen doorlaat waarmee de Russische overheid netwerken kan infiltreren. Het is erg moeilijk om hier met zekerheid achter te komen, wanneer het virus-signature nog onbekend is.

De ophef rond Huawei heeft te maken met het feit dat grote telecom-operators de overweging moeten maken of ze hun nieuwe 5G-netwerken willen opbouwen rond de hardware van de Chinese fabrikant. Het gaat hier om centrale infrastructuur van landen en daarmee speelt het landsbelang natuurlijk een enorm grote rol. Ook al ontkent Huawei in alle toonaarden dat er spionagesoftware of geheime backdoors in de apparatuur zitten, helemaal zeker kunnen we het nooit weten.

Geen Chinese of Russische technologie meer gebruiken?

Het is daarom goed te begrijpen dat overheden hun bedenkingen hebben als het om kritieke infrastructuur gaat en liever het zekere voor het onzekere nemen. Maar hoe zit dat voor bedrijven en instellingen? Hun infrastructuur staat meestal niet in dienst van iets groots als het landsbelang en je kunt je afvragen of de Russische of Chinese overheden geïnteresseerd zijn in jouw bedrijfsvoering.

Youtube video van Kaspersky met de boodschap: ‘We zijn niet de slechterikken, maar de goeierikken”

Andere aspecten die een rol kunnen spelen.

Als beveiligingsexpert heb ik natuurlijk altijd de neiging om het zekere voor het onzekere te nemen. Als ik een vermoeden heb dat een bepaalde technologie misschien gecompromitteerd is, zal dat voor mij een belangrijke overweging zijn om het niet te gebruiken. Bij twijfel adviseer ik altijd: niet doen. Maar het is niet de enige overweging. Als het bijvoorbeeld om de bescherming van niet-kritieke infrastructuur gaat, dan spelen ook andere overwegingen een rol, zoals de prijs van de oplossing, de functionaliteiten en de performance. Als de concurrentie een gelijkwaardige kwaliteit en prijsstelling hanteert, dan zou het vermoeden van manipulatie doorslaggevend moeten zijn. Maar als je heel specifiek op zoek bent naar een bepaalde functionaliteit of een lage prijs, dan kun je dit minder zwaar laten wegen.

Hoe zwaar je die verschillende aspecten onderling laat wegen, is natuurlijk ook afhankelijk van wat je doet. Stel, jij verkoopt kleding, dan is dat natuurlijk een heel ander verhaal dan wanneer je toeleverancier bent voor Lockheed. Er staat minder op het spel, dus misschien neem je de eventuele risico’s op de koop toe als bijvoorbeeld de prijs van de oplossing veel gunstiger is. Het is dan overigens wel aan te raden om voor de verschillende lagen van beveiliging in je infrastructuur verschillende merken te kiezen. Wanneer een bepaald virus dan bijvoorbeeld wordt doorgelaten door de beveiligingsoplossing op je mailserver, dan wordt hij wellicht geblokkeerd door de beveiligingsoplossing op je endpoints.

Hou er overigens wel rekening mee dat wanneer je kiest voor een veelbesproken beveiligingsoplossing als Kaspersky, dat je hier dan waarschijnlijk ook vragen over gaat krijgen van partners, opdrachtgevers en leveranciers. Zie je het niet zitten om voortdurend toelichting te moeten geven op je keuze, dan kun je misschien toch beter voor een beveiligingsoplossing van ‘onbesproken’ gedrag kiezen.

Een nog moeilijkere vraag is: wat als je de technologie al gebruikt? Ik heb daar helaas geen eenduidig antwoord op, maar zou in ieder geval adviseren om een assessment uit te laten voeren door een betrouwbare beveiligingsspecialist.

Voor meer informatie over ICT-beveiliging

Bel naar +31 40-2444666

Mail naar info@ip4sure.nl

Of ga naar onze contactpagina

Wij werken met veel plezier o.a. voor