Veiligheid GRC software

Geplaatst door

De Chinese videoapp TikTok groeit als kool. Ook in Nederland. De afgelopen weken duiken verhalen op van privacy-problemen met de app. Deze week werd in de VS een gezamenlijke rechtszaak aangespannen tegen TikTok, waarin wordt geclaimd dat de app “veel data” met de Chinese overheid deelt.

Huawei case

Ook een jaar geleden was er nogal ophef over het gebruik van Chinese hard- en software binnen de Nederlandse overheid.

Google moest, nu de Amerikaanse regering de Chinese smartphonegigant Huawei op haar zwarte lijst heeft gezet vanwege vermeende hulp bij Chinese ­digitale staatsspionage, gehoor geven aan een dwingende oproep om de technologische banden met Huawei te verbreken. Google loopt anders het risico door Washington te worden aangepakt.

Is na de Huawei de angst gerechtvaardigd dat Chinese bedrijven onder druk van de Chinese overheid achterdeurtjes in hun apparatuur en software inbouwen die geheime diensten in staat te stellen om te spioneren. Of worden we onterecht bang gemaakt.

En als Google al moet stoppen kun je bijvoorbeeld als Nederlandse overheidsorganisatie dan wel fully in control zijn als je Chinese software inzet? En is de software uit India dan wel betrouwbaar als je weet dat een gedeelte van de software voor de Boeing 737 MAX uit India kwam?

Kans berekening en in ieder geval wel voorbereiden

Heel eerlijk kunnen we niet weten of de software uit China of India betrouwbaar is. De kans op privacy issues is klein maar niet nihil. Maar als het dan toch mis gaat zal de impact behoorlijk groot zijn. Helemaal geen beheersing is dan geen optie. Wat kun je wel doen?

Risicobeheersing software

  • Vraag of de software wel in Nederland is gebouwd en gehost?
  • Check op LinkedIn of er daadwerkelijk developers werken bij de softwareleverancier?
  • Is er een ISO certificering bv. 27001 en wordt dit ook doorleeft tussen de certificeringsmomenten door?
  • Zou de organisatie bereid zijn om haar broncode, in ieder geval, in te laten zien.
  • Hoeveel echt tevreden klanten zijn er? En kun je de referenties checken?
  • Delen zij kennis middels blogs, evenementen zoals gebruikersdagen, sociale media?
  • Heb je wel eens meer dan 1 persoon gesproken van deze organisatie? 2,3,4? Ben je wel eens op hun kantoor geweest?
  • Laten ze weleens een pen test doen van hun software?
  • Kan je bellen met Support? Is er een telefoonnummer te vinden?

Neem deze vragen eens bewust mee en laat je verassen. Dan ben je in ieder geval risicobewust bezig!

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s