Cybersecurity: Het belang van het overzien van het hele schaakbord

Weblogbericht | 20-11-2023 | NCSC

“Het is een Chinees product/leverancier dus dat moet je niet willen gebruiken!”

Dit deed mij denken aan de vele gesprekken die mijn collega’s en ik voeren met zowel vakgenoten als doelgroepen over de risico’s van Chinese producten of diensten uit andere landen met een offensief cyberprogramma.

“Het is een Chinees product/leverancier dus dat moet je niet willen gebruiken!” is een verleidelijke gedachten. Maar als je de dreiging vanuit landen met een offensief cyberprogramma zoals China zo benadert, ben je je dan niet alleen op de “loper” aan het focussen? Vergeet je dan niet de rest van het schaakbord te overzien? Is dit niet een te simpele benadering van een veel complexer probleem?

Een aanval via de supply chain is slechts een van de vele mogelijkheden in het grotere aanvalsoppervlak

Natuurlijk kun je goed onderbouwen dat producten uit landen met een met offensief cyberprogramma een bepaald risicoprofiel hebben. Dergelijke landen hebben potentieel invloed op het productieproces en de leverancier van het product (in cybertermen: de supply chain). Maar een aanval via de supply chain is natuurlijk niet de enige manier om hun doelen te realiseren! Als je werkelijk effectief risico’s wilt beheersen dan moet je naar het totaalplaatje kijken. Een aanval via de supply chain is slechts één van de vele mogelijkheden in het grotere aanvalsoppervlak.

Landen met een offensief cyberprogramma hebben bijvoorbeeld ook de mogelijkheid om gebruik te maken van kwetsbaarheden in systemen [1] of zelfs zero-days zoals we bijvoorbeeld hebben gezien met de Pegasus malware. [2] Tegelijkertijd is en blijft phishing een zeer effectieve aanvalstechniek.

Third party risk??? …Fourth party Fifth party enz enz…risk bedoel je! Is een iPhone wel echt een Amerikaans product?

Met de digitalisering van onze samenleving zijn producten en diensten vaak niet meer van één enkele leverancier. Ze bestaan uit vaak complexe combinaties van deelcomponenten en subdiensten. Al deze sub-leveranciers hebben (deels) toegang tot het productieproces en maken daarmee potentieel onderdeel uit van het aanvalsoppervlak. Eén “landlabel” op product of dienst plakken is dus in veel gevallen vrijwel onmogelijk.

Ja maar Ronald, het is toch altijd beter dan deze producten wel te gebruiken?

Daar heb ik kritische vraagtekens bij. Wat ik denk te zien is dat men een vals gevoel van veiligheid ontleent aan het weren van dergelijke producten en diensten. Daarnaast ontstaan er vaak beladen discussies rondom het weren van leveranciers die zelfs in de media breed uit de doeken worden gedaan. Dergelijke discussies rondom het wel of niet weren van producten leidt af van wat we eigenlijk moeten doen. Namelijk: het hele schaakbord overzien en op basis van dit grotere plaatje onze cybersecuritystrategie bepalen.

Cybersecurity is natuurlijk geen spelletje en het gaat niet over het verslaan van die ene vijand. Het gaat erom dat je strategisch in het speelveld kan bewegen en dat je niet “schaak” gezet (vastgezet) wordt door een ander. De situatie verandert constant dus je analyseert het hele bord bij iedere zet. Soms kies je ervoor een dreiging nog één zet te accepteren zodat je zelf tot actie over kunt gaan en in een ander geval is het verstandiger je kroonjuweel dubbel te dekken en daarmee het risico te verminderen. Schaakmat kan niet door een enkele loper komen. Daar zijn heel wat stappen aan vooraf gegaan.
 

Geschreven door:
Ronald van der Zon
Senior adviseur cybersecurity

 

[1] Voor meer informatie over hoe je kwetsbaarheden in jouw systemen zie ook de basismaatregel “patchmangement”: Richt patchmanagement in | Nationaal Cyber Security Centrum (ncsc.nl)

[2] Voor meer informatie over Pegasus spyware: What is Pegasus spyware and how does it hack phones? | Surveillance | The Guardian