'IT-infrastructuur moet meer divers worden'

Je kunt leveranciers niet in hokjes plaatsen, vindt Jaap Meijer. “Er is de afgelopen jaren vaak discussie geweest over veilige of niet-veilige leveranciers. Maar je moet de complete beveiliging van de infrastructuur niet zien als simpelweg kiezen voor de goede leverancier. Het echte vraagstuk heeft met weerbaarheid te maken. Je kunt een strategie niet bouwen op het feit dat je een bepaalde leverancier, of het land waar die leverancier produceert, vertrouwt. Het gaat erom of je IT-infrastructuur altijd veilig is en operationeel blijft, wat er ook gebeurt. Zelfs wanneer de toeleveringsketens onder druk komen te staan, om politieke of logistieke redenen, moet je weerbaar blijven.”

Breed kijken

De oplossing ligt volgens Meijer in het kiezen voor een divers landschap aan leveranciers. “Stop niet al je eieren in één mandje, maar blijf breed kijken. Je ziet dat de infrastructuur door verschillende factoren kan worden verstoord. Niet alleen door cyberaanvallen, maar ook door bijvoorbeeld overstromingen, knelpunten in de scheepvaart, tekorten aan componenten en geopolitieke spanningen. Als je te afhankelijk bent van één partij, dan loop je een risico, al is de intentie van die leverancier nog zo goed. Gebruik daarom technologie uit verschillende delen van de wereld, op verschillende niveaus van je infrastructuur. Zo zorg je ervoor dat alles blijft werken als er één onderdeel uitvalt.”

Voor zichzelf hanteert Huawei dezelfde aanpak. “Wij maken gebruik van componenten van veel verschillende leveranciers die overal vandaan komen. We zijn al vele jaren bezig met bedrijfscontinuïteit. Daardoor zijn we weerbaarder dan een deel van onze concurrenten. We hebben geleerd van het verleden, waarin we soms geconfronteerd werden met het niet beschikbaar zijn van bepaalde componenten vanwege bijvoorbeeld handelsbeperkingen. Die weerbaarheid zou zeker een reden kunnen zijn om ook voor ons te kiezen.” Hij benadrukt het woord ‘ook’, want zoals gezegd: hij pleit voor netwerken met een diversiteit aan leveranciers en ziet Huawei dus als een aanvulling en niet als een vervanging van de securityleveranciers die bedrijven al gebruiken.

Zonder daarover te klagen, bevestigt Meijer dat Huawei als Chinees bedrijf soms op moet boksen tegen vooroordelen. “Het is zeker niet zo dat het land van herkomst irrelevant is. Het moet een factor zijn binnen een bredere risicoanalyse, maar geen doorslaggevende factor. Het is belangrijk om geen simplistische conclusies te trekken op basis van alleen de nationaliteit.”

Gedeelde verantwoordelijkheid

“In de basis moet je eigenlijk geen enkele partij vertrouwen”, vervolgt hij. “Je hebt gedisciplineerde verificatie nodig. Zelf gebruiken we daarvoor het ABC-principe: Assume Nothing, Believe Nobody, Check Everything. Als je het goed aanpakt, is dat een continu proces, gebaseerd op duidelijke beveiligingsstandaarden die je met elkaar hebt afgesproken en die je toepast op alle leveranciers. Dat blijf je vervolgens verifiëren. Daarbij gaat het om vier lagen van security: producten, implementaties, operaties en applicaties. Het komt er dus op neer dat je in het grotere ecosysteem met elkaar afspreekt hoe security eruit moet zien. Als je standaarden vaststelt, met certificeringen, kun je onafhankelijk bekijken of producten voldoen aan wat er is afgesproken. Gelukkig zijn er in Europa al allerlei certificerings-standaarden. De hele ontwikkelingscyclus van producten wordt daarbij doorgelicht. Zijn ‘security by design’ en ‘security by default’ wel geborgd?”

Security is een gedeelde verantwoordelijkheid, zo zegt Meijer stellig. “Dat begint bij de genoemde standaarden. Leveranciers moeten producten ontwikkelen op basis van die standaarden en dat laten controleren. Vervolgens komen ze terecht bij partners die de implementatie verzorgen. Een goede implementatie is vervolgens cruciaal om voor veilige netwerken te zorgen. Staan de poorten dicht die dicht moeten staan? Daarna vindt er een overdracht plaats van de leverancier naar de netwerkbeheerder die in Nederland vaak verantwoordelijk is voor de dagelijkse operationele gang van zaken. Die zorgt voor de monitoring en het melden van kwetsbaarheden. Daarnaast heb je nog de applicaties die van beveiliging moeten worden voorzien. Tot slot is er een toezichthouder die, waar nodig, kritische vragen stelt aan de netwerkbeheerder. Zo komen alle verschillende partijen samen. Ze versterken elkaar om de netwerkbeveiliging naar een hoger niveau te tillen. Dan houden we elkaar scherp. Ik vind dat dat in Nederland steeds vaker en beter gebeurt.”

CIO als architect

Hij ziet dat de rol van de CIO aan verandering onderhevig is. “Dat wordt steeds meer een architect. In plaats van iemand die producten selecteert, kijkt hij of zij op een brede manier naar weerbaarheid. De CIO moet zorgen voor een goede diversiteit aan leveranciers en daarnaast zoeken naar lokale partners en rekening houden met compliance-eisen en operationele controle. Uiteindelijk gaat het om het waarborgen van de bedrijfscontinuïteit. In de basis wordt het daardoor veel meer een strategische rol die minder over techniek en meer over business gaat.”

Partners, met name implementatie-specialisten, zijn voor Huawei erg belangrijk. “Ze voegen waarde toe aan wat wij leveren, zeker op enterpriseniveau. Ze zetten het netwerk neer en leveren meestal de support. Vaak is dat een lokale rol, omdat het belangrijk is dat zo’n partner de lokale wetten en regels kent. Het zijn partijen met veel middelen en kennis. Ook daarbij geldt dat samenwerking heel belangrijk is. Alleen door samen de verantwoordelijkheid te pakken kunnen we zorgen voor veilige en toekomstbestendige IT-infrastructuur.”