rusland cybercrime supply chain software

Risico’s van Russische schakels in de supply chain

Dat het Britse NCSC vorige week opriep goed te kijken naar afhankelijkheden van Russische entiteiten in de supply chain leidde tot veel reacties. Amper twee dagen later kwam Moskou met een melding die de zorgen van NCSC bevestigt.

Russen in de IT keten

De Britse waakhond voor cyberveiligheid schreef met zoveel woorden dat het nu meer dan ooit tijd is kritisch te kijken naar de IT keten waar men gebruik van maakt en deel van is. Als daar Russische leveranciers tussen zitten is het extra reden die controle grondig te doen.

Er zijn op dit moment weliswaar geen redenen aan te nemen dat die toeleveranciers verkeerde dingen doen. Ze kunnen echter op basis van lokale wetten door Moskou gedwongen worden handelingen te verrichten die de Britse klanten schaden.

Kaspersky

Daarbij denkt de lezer natuurlijk direct aan de problematiek rond Kaspersky. De melding van de Britten gaat echter niet om Kaspersky. Het gaat om elke vorm van software, hardware en IT dienstverlening uit Rusland. Voor Witrusland gaat het zelfde verhaal op.

Kaspersky is al jaren uit de Amerikaanse overheidsdiensten verbannen. Nederland is ook niet echt meer een makkelijke markt voor het bedrijf dat zegt in Zwitserland gevestigd te zijn. Toen recent de Duitse BSI expliciet waarschuwde voor Kaspersky was de rel onvermijdelijk. Overigens heeft de rechter in Keulen het BSI gelijk gegeven. In het kort geding van Kaspersky om die waarschuwing van tafel te krijgen heeft de rechter geoordeeld dat de overheid het recht en de taak heeft dergelijke berichten bekend te maken. Met de onderbouwing van de BSI melding was niets mis.

Rusland en illegale software

Waar wel iets mis kan en zal gaan is in Rusland zelf. Moskou heeft in reactie op de sancties bekend gemaakt het IE van Westerse landen niet meer te erkennen. Software hoeft niet meer legaal te zijn verkregen om te kunnen worden ingezet. Lees: de Russische overheid roept op illegale software te gebruiken.

Nu is Rusland altijd al een grote afzetmarkt en productieplaats voor gekraakte en illegaal gemodificeerde software. Bedrijven die zaken deden met het Westen als dienstverleners waren echter in de regel wel zo verstandig van legale software gebruik te maken.

Door de sancties is het nu echter niet meer mogelijk licenties aan te schaffen of te verlengen. Ook voorheen nette bedrijven zullen daarom wel moeten uitwijken naar minder legale opties. Of ze blijven software die niet onderhouden kan worden gebruiken.

NCSC waarscshuwing is terecht

De waarschuwing van het NCSC is alleen al daarom volkomen terecht. Russische toeleveranciers kunnen of wel gedwongen mee te werken aan voor de Britten ongewenste activiteiten. Of ze zijn onwetend een aanvalsvector in de supply chain door de lekke software die ze gebruiken.