Geplaatst door De Chinese videoapp TikTok groeit als kool. Ook in Nederland. Echter afgelopen jaar duiken er keer op keer verhalen op van privacy-problemen met de app. Afgelopen jaar werd in de VS een gezamenlijke rechtszaak aangespannen tegen TikTok, waarin wordt geclaimd dat de app “veel data” met de Chinese overheid deelt. Ook in Nederland zijn er meerdere rechtzaken tegen TikTok aangespannen. De Nederlandse rechter zal mag de zaken in behandeling nemen.
Let ook op dat er een nieuwe richtlijn komt. De NIS2 welke op verschillende manieren tracht de cybersecurity te verbeteren binnen EU-lidstaten. De richtlijn doelt op het aanscherpen van opgelegde beveiligingseisen, het aanpakken van de beveiliging van supply chains, het stroomlijnen van rapportageverplichtingen, strengere toezicht maatregelen en het invoeren van handhavingsvereisten met geharmoniseerde sancties in alle lidstaten.
Bescherming van je hele supply chain rondom privacy en informatie-beveiliging wordt dus steeds belangrijker. Hoe zit dat bij jouw toeleveranciers waaronder GRC software?
Huawei case
Ook een jaar geleden was er nogal ophef over het gebruik van Chinese hard- en software binnen de Nederlandse overheid.
Google moest, nu de Amerikaanse regering de Chinese smartphonegigant Huawei op haar zwarte lijst heeft gezet vanwege vermeende hulp bij Chinese digitale staatsspionage, gehoor geven aan een dwingende oproep om de technologische banden met Huawei te verbreken. Google loopt anders het risico door Washington te worden aangepakt.
Is na de Huawei de angst gerechtvaardigd dat Chinese bedrijven onder druk van de Chinese overheid achterdeurtjes in hun apparatuur en software inbouwen die geheime diensten in staat te stellen om te spioneren. Of worden we onterecht bang gemaakt.
En als Google al moet stoppen kun je bijvoorbeeld als Nederlandse overheidsorganisatie dan wel fully in control zijn als je Chinese software inzet? En is de software uit India dan wel betrouwbaar als je weet dat een gedeelte van de software voor de Boeing 737 MAX uit India kwam?
Kans berekening en in ieder geval wel voorbereiden
Heel eerlijk kunnen we niet weten of de software uit China of India betrouwbaar is. De kans op privacy issues is klein maar niet nihil. Maar als het dan toch mis gaat zal de impact behoorlijk groot zijn. Helemaal geen beheersing is dan geen optie. Wat kun je wel doen?
Risicobeheersing software
- Vraag of de software wel in Nederland is gebouwd en gehost?
- Check op LinkedIn of er daadwerkelijk developers werken bij de softwareleverancier?
- Is er een ISO certificering bv. 27001 en wordt dit ook doorleeft tussen de certificeringsmomenten door?
- Zou de organisatie bereid zijn om haar broncode, in ieder geval, in te laten zien.
- Hoeveel echt tevreden klanten zijn er? En kun je de referenties checken?
- Delen zij kennis middels blogs, evenementen zoals gebruikersdagen, sociale media?
- Heb je wel eens meer dan 1 persoon gesproken van deze organisatie? 2,3,4? Ben je wel eens op hun kantoor geweest?
- Laten ze weleens een pen test doen van hun software?
- Kan je bellen met Support? Is er een telefoonnummer te vinden?
Neem deze vragen eens bewust mee en laat je verassen. Dan ben je in ieder geval risicobewust bezig!
Robert 't Hart 