In de media

Westerse leverancier ook geen garantie op vermindering spionage

Telecom provider KPN gaat in zee met het Chinese Huawei voor de aanleg van het 5G-netwerk in Nederland. KPN laat weten dat de aanleg verdeeld wordt onder twee verschillende partijen. Huawei is verantwoordelijk voor de aanleg van het basisnetwerk, maar is niet betrokken bij de core, het beveiligingsgevoelige gedeelte, van het netwerk. Dat gedeelte wordt door een nader te bepalen Westerse partij aangelegd.

Frank Groenewegen, Chief Security Expert bij Fox-IT, vertelt in een de radio uitzending van NPO1 over de verdeling van de aanleg. “Je kunt het internet vergelijken met een verzameling van straten en snelwegen die aan elkaar gekoppeld zijn. Als je informatie wilt versturen zal je, net als met een auto, de weg op moeten om iets van A naar B te versturen. Op de weg heb je grote knooppunten. Bijvoorbeeld als je van Amsterdam naar Den Haag rijdt over de A4 heb je verschillende knooppunten waar snelwegen bij elkaar komen. Deze knooppunten zijn de core gedeelten waar het over gaat,” zegt Frank Groenewegen. “Op die grote knooppunten komt er heel veel internetverkeer bij elkaar. Het is belangrijk dat op dat moment alles goed bij elkaar komt en vervolgens op de juiste bestemming terecht komt. Voor het aanleggen van deze knooppunten wordt er voor een andere leverancier gekozen.”

Maar het kiezen voor een Westerse leverancier is geen garantie dat er niet gespioneerd kan worden. De kans op spionage wordt verminderd, maar we moeten niet naïef zijn. In de discussie gaat het vaak over achterdeurtjes, maar statelijke actoren hebben voldoende andere middelen en mogelijkheden om te spioneren. Vaak beschikken zij over ongelimiteerde mogelijkheden, kennis en financiën.

Het is belangrijk dat bedrijven, vooral binnen de kritieke infrastructuur, ervan uit gaan dat ze gehackt zijn of gehackt kunnen worden. De kritieke punten moeten extra beschermd worden en daarvoor is onafhankelijke controle en toetsing nodig. “Denk aan andere branches, zoals de auto industrie. Als nieuw merk kun je niet zomaar een auto op de markt brengen. Zo’n auto moet door allerlei onafhankelijke tests heen. Dat hackers binnenkomen is niet spannend, het gaat er juist om dat je ze eruit schopt voordat ze hun doel bereikt hebben door ze gelijk te detecteren. Op papier kan je ook zeggen dat een auto veilig is, maar door middel van crash tests moet dat in de praktijk blijken. Het is een moment opname, dus moet zo’n test van tijd tot tijd herhaald worden. Op zo’n toets moment wordt duidelijk of de mitigerende maatregelen nog voldoen aan de actuele dreiging,” zegt Groenewegen.

Als het gaat om kritieke infrastructuur, waar we als individu zo enorm afhankelijk zijn, moet je als bedrijf iemand niet simpelweg op zijn blauwe ogen vertrouwen. Onafhankelijke controle met onaangekondigde toetsingen, met de juiste kaders en wet en regelgeving is de enige manier om de risico’s te minimaliseren. Het is wel van belang dat die partijen dan weten waartegen zij zich moeten beschermen en dat deze informatie up-to-date is. Een goede risicoanalyse is daarvoor cruciaal, wie zijn mijn digitale tegenstanders en op welke manier vallen die aan? Dat gaat hier om de hele keten en niet alleen over techniek, maar ook over de processen, de mens en de toeleveranciers.

Frank Groenewegen

Chief Security Expert
For a more secure society
  • Experts
  • Services
  • Technology