Cybercheck: ook jij hebt supply chain risico’s!
Doelgroep:
Deze publicatie richt zich op publieke en private organisaties die over Te Beschermen Belangen (TBB) ten aanzien van de Nationale Veiligheid (NV) beschikken. Organisaties kunnen aan de hand van de bestaande richtlijnen zelf beoordelen of zij over een of meerdere TBB-NV beschikken.
Deze publicatie is geschreven voor personen die binnen bovengenoemde organisaties op tactisch niveau werkzaam zijn en een rol hebben bij het beheersen van digitale risico’s met betrekking tot de inzet van producten en diensten afkomstig uit landen met een offensief cyberprogramma. Dit zijn in de eerste plaats de Chief Information Officer (CIO), de Chief Technology Officer (CTO) en de Chief Information Security Officer (CISO). Daarnaast kan deze handreiking ook gebruikt worden door inkoopafdelingen, cybersecurityspecialisten en ICT- en security-architecten
Geschreven door:
Het NCSC, de AIVD, CIO Rijk, en de NCTV
In samenwerking met:
Bluebird & Hawk BV, De Nederlandse Vereniging van Banken, ICT Group,
Nederlandse Spoorwegen en Technolution
Inleiding in de Cybercheck
De toenemende digitalisering biedt de Nederlandse samenleving voordelen, maar brengt ook risico’s met zich mee. Zo gaat er de laatste jaren steeds vaker aandacht uit naar de risico’s rondom de inzet van producten en diensten uit landen met een offensief cyberprogramma dat gericht is tegen Nederland of
Nederlandse belangen.
Landen met een offensief cyberprogramma kunnen tijdens de ontwikkeling of het onderhoud van producten en diensten invloed uitoefenen op de supply chain. Voor deze landen kan gelden dat zij bedrijven en burgers in hun land op grond van wetgeving kunnen verplichten tot medewerking, waardoor deze bedrijven en burgers gedwongen worden om digitale achterdeuren in hun product of dienst in te bouwen.
Dit biedt landen met een offensief cyberprogramma de mogelijkheid om via producten en diensten ongeoorloofd toegang te verkrijgen tot delen van de technische infrastructuur van een organisatie die gebruik maakt van deze producten of diensten. Deze toegang kan misbruikt worden voor spionage- en/of
sabotagedoeleinden met gevolgen zoals heimelijke beïnvloeding, diefstal van gevoelige informatie, innovatieve kennis en technologieën of het verstoren van vitale infrastructuur.
Producten en diensten bereiken Nederlandse organisaties inmiddels vanuit de hele wereld. Als de inzet van deze producten en diensten bijvoorbeeld leidt tot een incident binnen organisaties die vitale processen ondersteunen dan raakt dat niet alleen de organisatie zelf, maar kan ook de nationale veiligheid van
Nederland geraakt worden. Het inventariseren en beheersen van supply chain risico’s is in die gevallen van groot belang voor het digitaal veilig functioneren van zowel organisaties als de Nederlandse samenleving.
Aan de slag: maak supply chain risico’s voor producten en diensten afkomstig uit landen met een offensief cyberprogramma inzichtelijk
De Algemene Inlichtingen- en Veiligheidsdienst (AIVD), Chief Information Office-Rijk (CIO Rijk), het Nationaal Cyber Security Centrum (NCSC) en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) brengen deze gezamenlijke publicatie uit om organisaties bewust te maken van supply chain risico’s
als gevolg van de inzet van producten en diensten afkomstig uit landen met een offensief cyberprogramma.
Deze handreiking biedt concrete handvatten voor:
• Het inventariseren van mogelijke supply chain risico’s met behulp van de Cybercheck;
• Het uitvoeren van een aanvullende risicoanalyse om mogelijke supply chain risico’s te beheersen.
Dit wordt toegelicht aan de hand van een fictief voorbeeld.
De resultaten uit de aanvullende risicoanalyse hebben betrekking op een specifiek supply chain scenario en vormen een aanvulling op het bredere en bestaande risicomanagementproces van jouw organisatie. Als jouw organisatie niet over een risicomanagementproces beschikt, dan adviseren we om hier eerst een
proces voor in te richten.