NCSC UK: kijk goed naar risico’s Russische componenten in supplychain

Het Britse NCSC doet een oproep aan de publieke sector, kritieke infrastructuren en andere organisaties om goed te kijken naar de risico’s verbonden aan “door Rusland gecontroleerde” delen van hun supplychain.

National Cyber Security Centre

Dat staat te lezen in een blogpost van het National Cyber Security Centre (NCSC). Daarbij is ook geschreven dat er op dit moment geen aanwijzingen zijn dat de Russische staat op het punt staat commerciële leveranciers te dwingen Britse belangen te schaden. Het venijn zit in de zin die daar direct op volgt. Dat het nu niet zichtbaar is, is geen garantie dat of op enig moment in de toekomst zal gebeuren.

De Russische wet bevat namelijk wettelijke verplichtingen voor bedrijven om de Russische Federale Veiligheidsdienst (FSB) te helpen. De verleiding van die wetgeving gebruik te maken neemt toe in een tijd van oorlog.

Los daarvan zegt het NCSC-UK dat cybercriminelen en hacktivisten wel een het oog kunnen laten vallen op Russische software en dan zijn Britse klanten “collatoral damage”.

Technologie en diensten

Geadviseerd door verder dat instanties en bedrijven die een direct doelwit kunnen zijn van Russische agressie serieus hun afhankelijkheid van Russische technologie of diensten moeten heroverwegen.

Technologie is in de eerste plaats hardware. Veel Russische (IT) hardware lijkt er niet te zijn in de UK. Diensten, zoals software is al wat lastiger, omdat lang niet iedereen weet of de softwaremaker een gebruik maakt van developpers uit Rusland of Witrusland. (zie de case van Kaseya).

Er is de nodige kritiek op dit advies, maar dat viel te verwachten. Men mist een concrete waarschuwing of bewijs dat het fout gaat. In het aangepaste NCSC-UK advies staat echter ook iets waar iedereen het eens moet zijn. De kans op “ellende” door aanvallen op de supplychain verkleint volgens NSCS substantieel als updates en patches worden doorgevoerd.