Jaap Meijer, Huawei: ‘Cybersecurity en -weerbaarheid zijn een gedeelde verantwoordelijkheid’

Het uitgangspunt voor elke organisatie moet tegenwoordig zijn dat cybersecurity en -weerbaarheid integraal onderdeel zijn van die organisatie. Dat begint bij de leverancier van producten en diensten die secure moeten zijn, maar moet in de hele keten zo gelden, meent Meijer. Hij neemt Huawei als uitgangspunt om te schetsen hoe wat hem betreft elke organisatie moet acteren.

“Security moet vanaf de top – de RvB - tot en met de security-organisatie prioriteit zijn. In technologie, in processen en beleid en in de awareness bij de werknemers. Voor een organisatie zoals Huawei, actief in meer dan 170 landen, betekent dat meer dan alleen zo veilig mogelijk zijn. Je moet in al die landen en regio’s compliant zijn met wetten en regels. Dat zijn er niet alleen steeds meer, ze veranderen steeds sneller en lopen per regio uiteen.”

End-to-end governance

De end-to-end governance structuur bij Huawei wordt mede gebaseerd op analyses van die uiteenlopende, voortdurend veranderende wetgeving. Maar ook wordt er gekeken naar best practices op dit gebied, zowel van Huawei zelf als andere partijen. “We maken veel gebruik van partners voor informatiedeling. Dat alles vertaalt zich in guidances die de basis vormen van alle product- en dienstontwikkeling. Zie het als een soort rode lijn: alles dat wij ontwikkelen, moet voldoen aan deze stricte regels én aan alle relevante wet- en regelgeving op security en privacy-gebied.”

Die universele, uniforme aanpak maakt het eenvoudiger om te monitoren of end-to-end de rode lijn wordt nageleefd. Dat begint met R&D – met de nodige gatekeeper-mijlpalen. Vervolgens worden de ontwikkelde producten en diensten doorgelicht door het Independent Cyber Security Lab, met een hele suite aan tools zoals pentesten en het doorlichten van alle code. Zij bepalen of een product mag worden vrijgegeven voor een specifieke markt.

In het fabricageproces wordt alles vanaf de componenten tot en met het eindproduct getrackt en getraced, wat wordt doorgezet in de logistieke keten. Zo kan stap voor stap teruggehaald worden wie wanneer wat in handen heeft gehad, waar er mogelijk iets mis is gegaan, zoals ongewenste blootstellingen. Ook de installatie- en supportafdelingen hanteren security-beleid met zijn eigen red lines, monitoring en risico-assessments van begin tot einde.

Meijer: “Verder doen we veel aan awareness van ons personeel in elk onderdeel van de keten, om tot een cultuuromslag te komen waarbij iedereen voorbij de eigen functionele eisen kijkt, zoals verkoop of installatie. Door mensen voortdurend mee te nemen in cyber-ontwikkelingen, in scenario’s waarin het mis ging, snapt iedereen in zijn of haar dagelijkse werk het belang om te kijken naar diens stukje van de security- en compliance-keten, naar privacybescherming. En om te voorkomen dat mensen terugvallen in oud gedrag, wordt voortdurend gecontroleerd en geauditeerd.”

Holistische aanpak

Deze holistische aanpak valt volgens Meijer onder het ABC-principe: Asume Nothing, Believe No-one, Check Everything. Het heeft van boven naar beneden een hoge prioriteit, want zoals de CEO van Huawei onlangs nog stelde: no security means no business. Ofwel: de commerciële belangen mogen nooit zwaarder wegen dan security en privacy.

“Maar ook Huawei kan niet alles alleen. We leven in een wereld waarin cybercriminelen voortdurend met nieuwe methoden en nieuwe technologie komen voor steeds geavanceerder aanvallen. We werken daarom samen met allerlei standaardisatie-organisaties, binnen publiek-private consortia, werken aan projecten om samen security te verbeteren.”

Cyberweerbaarheid

Cyberweerbaarheid werd al eerder genoemd, bij het doordrenken van alle werknemers van hun eigen verantwoordelijkheid voor security, compliance en privacy. Maar weerbaarheid gaat verder, het geldt ook voor die gevreesde hack die er een keer gaat komen.

“Dat is ons uitgangspunt”, stelt Meijer. “Je moet zeker zo veel mogelijk controls invoeren om een hack te voorkomen. Maar als het dan toch een keer gebeurt, moet je weten waar je staat, wat je moet doen – op het gebied van compliance en om de impact van een hack te minimaliseren. Dat betreft Huawei intern, maar zeker onze klanten. Want ook zij kunnen geraakt worden als in een van onze producten onverhoopt een kwetsbaarheid zit.”

Huawei heeft hiervoor een PSIRT ingericht – Product Solutions Incident Response Team – die binnen enkele uren na melding van een potentiële kwetsbaarheid aan de slag kan gaan: om te inventariseren of die kwetsbaarheid echt gevaarlijk is, op welke producten het van toepassing is en aan welke klanten dit geleverd is.

“Soms is er nog geen directe oplossing omdat die nog ontwikkeld moet worden – zoals een patch. Maar ook dan is continue en open communicatie van belang, zodat klanten weten wat ze al wel kunnen doen. Denk aan work arounds om de impact van een kwetsbaarheid te minimaliseren, of door tijdelijk extra controls in te richten. Dat is van net zo wezenlijk belang als het aanpakken van de kwetsbaarheid zelf.”

Ondersteuning klanten

Klanten worden altijd ondersteund als er toch iets mis gaat, waarbij de aanpak afhankelijk is van of iets potentieel of direct gevaarlijk is. Bij dit laatste baseert Huawei de mate van het risico op het internationale scoringsmechanisme CVSS – Common Vulnerability Scoring System. “Bij hele hoge scores nemen we altijd proactief contact op met mogelijk getroffen klanten om hen in te lichten over wat er gaande is. Verder helpen we ze met het voorbereiden op patches die er komen, zodat zij dit al kunnen inregelen voor hun netwerk.”

Meijer benadrukt dat Huawei niet alleen actie onderneemt als het eigen producten betreft. Het belang is vooral het helpen van een getroffen klant. “Gelukkig hebben wij nog niet te maken gehad met significante incidenten bij onze producten. Maar dan nog is het van belang om het hele netwerk te beschermen. Dat is ook reden voor ons om klanten te helpen te bewegen naar een zero trust-architectuur, zodat je laterale bewegingen in een netwerk kunt minimaliseren en een probleem zo snel mogelijk kunt isoleren en aanpakken.”

Impact NIS2

Dit alles wordt belangrijker dan ooit met de komst van NIS2. Deze EU-verordening heeft veel meer impact op veel meer organisaties dan NIS1. De Cyberbeveiligingswet – de vertaling van NIS2 in Nederland – is veel gedetailleerder, biedt veel meer guidance en legt een nadruk op ketenverantwoordelijkheid. “Het heeft heel lang geduurd voordat echt tot bedrijven doordrong wat dit voor hen ging betekenen – ook door gebrek aan guidance in het begin - en hoe ze erop moeten reageren. Zeker voor het mkb geldt dat.”

Huawei helpt klanten ook nu: door met hen te delen hoe de organisatie zaken zoals end-to-end governance heeft opgezet. Een op een soms, of via publieke kanalen, via webinars en evenementen, deelt de onderneming eigen ervaringen over hoe je beleid opzet, zero trust architectuur inricht.

“Meijer: “Het begint bijvoorbeeld met een goede risicoanalyse: wat is je kernactiviteit, wat zijn je kroonjuwelen, hoe verhoudt zich dat tot je business continuity? Wat moet je inrichten om incidenten te voorkomen of te mitigeren, hoe kijk je naar je logistieke keten als het gaat om risico’s? Maar ook de technische aanpak, zoals de inzet van AI-middelen voor detectie & response,

Want, zo besluit Meijer: “Huawei ziet security en weerbaarheid als een gedeelde verantwoordelijkheid. Klaar ben je nooit, maar samen kun je een heel eind komen.”