Newsroom
abonneren op nieuwsbrief

Waarom transparantie de basis is voor vertrouwen in cybersecurity

7 minuten leestijd
tags:
geschreven door:
Andre Bastert
Andre Bastert
Transparantie is de basis voor vertrouwen in cybersecurity

Een wijs iemand zei ooit: "Hoe meer mensen je in je huis uitnodigt, hoe netter het wordt." Hetzelfde principe van openheid kan even gemakkelijk worden toegepast op de bedrijfswereld. Hoe transparanter een organisatie is in processen en cultuur, hoe gedisciplineerder ze waarschijnlijk te werk zal gaan.  Transparantie is de basis voor het opbouwen van vertrouwen tussen leveranciers, klanten en partners, en dat geldt nog meer voor cybersecurity. Hier gaan we dieper in op de fundamentele factoren die zorgen voor die transparantie en daarmee voor vertrouwen.

De noodzaak van een transparante aanpak van cybersecurity

De risico's en mogelijke gevolgen van cyberaanvallen en datalekken staan terecht hoog op de agenda van elke organisatie. Bedrijven en openbare instellingen in alle sectoren zijn niet langer bereid om beweringen van leveranciers over de veiligheid van hun producten en oplossingen zomaar te aanvaarden. In veel landen en regio's eist de wetgeving zelfs dat ze meer inzicht moeten hebben in de beveiliging van de producten en diensten die binnen hun organisatie worden gebruikt.

Het idee dat het verbergen van de details en de werking van een systeem de beste manier is om de beveiliging te verbeteren, vaak 'beveiliging door onduidelijkheid' genoemd, is grotendeels in diskrediet gekomen. Het Amerikaanse National Institute of Standards and Technology (NIST) stelt zelf dat "systeembeveiliging niet afhankelijk mag zijn van de geheimhouding van de implementatie of de componenten ervan".

Inzicht in de beveiligingspraktijken van een technologieleverancier is een centraal aspect bij het uitvoeren van risicobeoordelingen van leveranciers. Deze onderzoeken de mogelijke impact die de producten van een leverancier kunnen hebben op het netwerk en de aangesloten systemen van de klant en bepalen of de leverancier de juiste maatregelen heeft genomen om de risico's te beperken. 

Klanten eisen daarom volledig inzicht in elk aspect van de aanpak van een leverancier om optimale productbeveiliging te ondersteunen en deze gedurende de hele productlevenscyclus te handhaven. Deze vraag naar transparantie moet worden omarmd, omdat het van fundamenteel belang is om te bepalen of de producten van een leverancier de eigen beveiligingshouding van een klant kunnen ondersteunen en om vertrouwen op te bouwen tussen leveranciers, partners en klanten. 

De vele voordelen van transparantie 

Wanneer een technologiefabrikant transparant is over zijn beveiligingspraktijken, laat hij zien dat hij zich inzet voor de veiligheid van zijn producten. Dit omvat het aanbieden van beveiligingsfuncties en -instellingen waarmee klanten producten zo veilig mogelijk kunnen gebruiken om hun eigen systemen en gegevens te beschermen.  

Transparantie maakt het ook mogelijk om effectiever samen te werken en informatie te delen met klanten en partners, zodat ze nieuw ontdekte kwetsbaarheden in software snel kunnen aanpakken. 

Bovendien helpt transparantie producenten en klanten om te leren van beveiligingsincidenten uit het verleden en om hun algemene beveiligingshouding te verbeteren. Geïnformeerde beslissingen kunnen toekomstige incidenten helpen voorkomen en zorgen voor een blijvende bescherming van klantgegevens en -informatie.

Verder gaan dan de vereisten van cybersecurity-certificeringen

In deze context kunnen industrienormen en certificeringen een nuttige zekerheid bieden voor de inzet van een bedrijf voor cybersecurity. Het is duidelijk dat leveranciers moeten aantonen dat ze deze certificeringen naleven wanneer ze wettelijk verplicht zijn. Ze zijn ook waardevol bij het opstellen van een basislijn die contractueel bindend kan zijn wanneer bedrijven zakendoen met elkaar om diensten aan hun klanten te leveren. Klanten kunnen certificeringsbewijzen ook gebruiken tijdens het inkoopproces om er zeker van te zijn dat producenten aan de minimumvereisten voldoen. 

Het gebruik van certificeringen als wondermiddel om een uitgebreide aanpak van cybersecurity aan te tonen, moet echter worden vermeden. Certificeringen getuigen van een minimale basisbeveiliging op een bepaald tijdstip waaraan een bedrijf zich houdt, ongeacht of het gaat om bedrijfsinformatiebeveiliging (ISO 27001, diverse exportvoorschriften inzake cybersecurity, enz.) of productgerichte veiligheidscertificeringen (FIPS 140, ETSI EN 303.645 EN diverse andere landspecifieke standaarden)

Daarnaast zijn standaarden en certificeringen van nature vaak breed om specifieke industrieën en hun gebruikssituaties te bestrijken en zijn ze daarom niet altijd relevant voor gespecialiseerde gebruikssituaties. IEC 62443 richt zich bijvoorbeeld specifiek op industriële automatiserings- en besturingssystemen, wat minder relevant is voor fysieke beveiliging.

Vanuit commercieel oogpunt kunnen certificeringen en het naleven van normen het risico lopen om te worden gebruikt als een afvinkmogelijkheid en een strategie om concurrentievoordeel te behalen tijdens inkoopprocessen, waarbij het de bedoeling is om zo veel mogelijk certificeringen te verzamelen om de uitstraling van een 'goede' cybersecuritypositie te versterken. Dat is vooral het geval als de standaard en technische vereisten achter de aankoop 'opgesloten' zitten en niet gratis openbaar beschikbaar zijn. 

Ten slotte gaan ontwikkelingen in technologie, processen en producten vaak veel sneller dan het standaardisatieproces, wat betekent dat producenten die alleen op certificering vertrouwen, achter zullen lopen op het gebied van technologische innovaties. Het gebruik van IEEE 802.1AE MACsec-netwerkversleuteling in producten verhardt bijvoorbeeld de netwerkcommunicatie aanzienlijk, maar de technologie of best practice voor het gebruik van MACsec voor het beveiligen van netwerken is niet gespecificeerd in de huidige standaarden.

Kortom, hoewel certificeringen en standaarden enige waarde hebben, moeten ze worden beschouwd als een basislijn en niet als een doel, en als een aanvulling op de bredere cyberbeveiligingsgerelateerde activiteiten van een leverancier. 

Op zoek naar bewijs van transparantie

Bij het overwegen van leveranciers zijn er een aantal duidelijke punten die aantonen dat ze zich inzetten voor transparantie in product- en softwareontwikkeling en gedurende de hele productlevenscyclus met betrekking tot cybersecurity. Dit zijn onder andere:

  • Klanten inzicht bieden in de beveiligingsactiviteiten en -maatregelen die gedurende de hele levenscyclus van een product worden ondernomen, van de ontwikkelings-, productie- en distributiefasen tot de implementatie, ingebruikname en buitenbedrijfstelling. Deze inzichten moeten ook betrekking hebben op hoe de hele toeleveringsketen van de leverancier zelf is beveiligd.   
  • Het publiceren van beveiligingsbeleid en -praktijken voor zowel productontwikkeling als de aanpak van de leverancier voor interne bedrijfsbeveiliging. Het hebben van een duidelijke, openbaar toegankelijke reeks beleidslijnen en procedures voor de bescherming van gebruikersgegevens en -informatie toont aan dat het bedrijf zich inzet voor beveiliging en verantwoordelijkheid.  
  • Regelmatig onafhankelijke beveiligingsbeoordelingen en -audits uitvoeren om mogelijke zwakke plekken in de beveiliging te identificeren en aan te pakken en klanten de zekerheid te bieden dat het bedrijf beveiliging serieus neemt. Deze kunnen betrekking hebben op beoordelingen op organisatieniveau, zoals ISO/IEC 27001-standaardbeoordelingen, of op een specifiek productniveau, zoals penetratietests door derden.
  • Het leveren van producten die het technisch eenvoudig maken voor derden, organisaties en autoriteiten om de beveiligingspositie van de producten te evalueren. Dit omvat het niet versleutelen van de apparaatsoftware of andere activiteiten om 'beveiliging door onduidelijkheid' te ondersteunen. Het verstrekken van een software-materiaallijst (SBOM), die een lijst bevat van de 'ingrediënten' waaruit elk stuk software is opgebouwd, is eveneens essentieel. De SBOM bevat alle open source- en externe componenten die in een stuk software aanwezig zijn, de licenties die op deze componenten van toepassing zijn, de versies van de in de software gebruikte componenten en de status van eventuele patches die nodig zijn om de beveiliging te handhaven.
  • Transparantie bij het melden van beveiligingsincidenten wanneer deze zich voordoen, zowel met betrekking tot de organisatie van de leverancier als zijn producten. Leveranciers moeten beschikken over een duidelijk beleid voor het beheer van kwetsbaarheden. Dit zorgt voor communicatie over de aard van het incident, hoe het aanvankelijk werd ontdekt, de genomen stappen om de kwetsbaarheid aan te pakken (inclusief de acties die klanten moesten ondernemen) en de genomen acties om toekomstige incidenten te voorkomen.
  • Klanten en partners regelmatig op de hoogte houden van de beveiliging van het bedrijf. Informatie over wijzigingen in beveiligingsbeleid of -praktijken helpt hen niet alleen om op de hoogte te blijven, maar stelt hen ook in staat om snel actie te ondernemen om hun eigen producten, diensten en processen te beveiligen. Door klanten en partners de mogelijkheid te bieden om zich te abonneren op een service voor beveiligingsmeldingen, kunnen ze bovendien tijdig reageren op beveiligingsproblemen.
  • Door klanten en onderzoekers actief aan te moedigen om potentiële zwakke plekken in de beveiliging die ze ontdekken te melden, kan het bedrijf potentiële problemen identificeren en aanpakken voordat ze kunnen worden uitgebuit. Deelnemen aan het CVE-programma om CVE-ID's bekend te maken en ook het opzetten van een bug bounty-programma toont de cybersecurity-maturiteit en transparantie van de leverancier en het vertrouwen in zijn beveiligde ontwikkelingsprocessen.
  • Klanten ondersteunen in een proactief productlevenscyclusbeheerproces, zodat ze de buitenbedrijfstelling en vervanging van producten kunnen plannen. Centraal hierbij staat het zo vroeg mogelijk vastleggen van de einddatum van de ondersteuning voor apparaatsoftware, idealiter onmiddellijk na de productlancering.  

Elke leverancier moet alles in het werk stellen om producten te leveren die de cybersecurity-eisen van de klant ondersteunen. Certificeringen en normen gaan maar tot een bepaald punt. Transparantie is essentieel. Gepubliceerde praktijken en beleidslijnen, regelmatige onafhankelijke beveiligingsbeoordelingen en -audits en openheid over beveiligingsincidenten zijn betrouwbaardere manieren om vertrouwen op te bouwen in de inzet van een leverancier voor de bescherming van gegevens en het leveren van producten met een sterke cybersecurity.

Meer informatie over onze aanpak van cybersecurity vind je hier.
Cybersecurity

Andre Bastert

Andre Bastert is Global Product Manager bij Axis Communications. Hij is verantwoordelijk voor het AXIS OS-softwareplatform voor AXIS-netwerkapparaten. Andre richt zich op alles wat te maken heeft met cybersecurity, de IT-infrastructuur/beveiligingsintegratie en het het management van de softwarelevenscyclus van onze producten. Andre begon zijn carrière bij Axis in 2014 bij de technische dienst. Voordat hij zijn huidige functie opnam, werkte hij als productspecialist voor PTZ-camera's en AXIS OS. Als Andre niet aan het werk is, brengt hij tijd door met zijn gezin en renoveert hij de graag in een echte doe-het-zelf-stijl.

Lees meer berichten van Andre
Andre Bastert