Bouwen onder licentie is bekend van onder meer de sterk overheidsgereguleerde aerospace & defense-markt. Zo’n licentie is waardevol, maar komt wel met de nodige voorwaarden. Vaak mede gebaseerd op ITAR (International Traffic in Arms Regulations), door de VS vastgelegde regelgeving voor de export van militair materieel en het delen van de gerelateerde technische informatie. Daarvoor moeten bedrijven tegenwoordig hun databeveiliging op orde hebben. ITAR blijft echter vaag over hoe dat moet worden ingericht, waarschuwt Marcel van Oirschot, commercieel directeur van cybersecuritybedrijf Fox-IT.
VS in strenge ITAR-regelgeving vaag over cybersecurity
Marcel van Oirschot, commercieel directeur van Fox-IT. Foto: Fox-IT
Veel bedrijven in de aerospace & defense-markt bouwen onder licentie bijvoorbeeld vliegtuigen of onderdelen daarvoor. Die licentie vertegenwoordigt voor hen een grote waarde en vormt misschien wel hun bestaansrecht, zegt Marcel van Oirschot. ‘De licentie verliezen, omdat niet meer is voldaan aan de licentievoorwaarden, is dus een bedreiging.’ Van die voorwaarden zal ITAR vaak deel uitmaken en misschien wel de hoofdmoot vormen: de Amerikaanse overheid vat het ITAR-begrip arms breed op, vanuit het ‘dual use’-principe. Niet alleen ‘echte’ wapens vallen eronder, maar alles wat een militaire toepassing zou kunnen krijgen, zoals een civiel vliegtuig en veel apparaten en machines. Daar komt bij dat ITAR naast fysieke producten ook de technische informatie erover bestrijkt. Dus is hier de beveiliging van (het delen van) die informatie aan de orde. Van Oirschot: ‘Niet iedereen binnen een bedrijf is zich echter bewust van de waarde van die licentie en van de noodzaak om te voldoen aan de bijbehorende voorwaarden, lees om de cybersecurity op orde te hebben.’
Cybersecurity, ook om ITAR-compliant te zijn, gaat over de combinatie mens, proces en techniek – in die volgorde.
‘Hek’ tegen hack
Een goed voorbeeld van de impact van ITAR is de Joint Strike Fighter (JSF, tegenwoordig F35). Het Verenigd Koninkrijk dreigde ooit uit het JSF-programma te stappen omdat de VS weigerde een (gedeeltelijke) vrijstelling te verlenen van de strenge regelgeving, zoals voor het delen van gevoelige informatie met niet-Amerikanen. Vorig jaar nog werd bekend dat bij een hack van een Australische producent van JSF-onderdelen dertig gigabytes aan data waren ontvreemd. Van Oirschot. ‘Daar zullen de Amerikaanse overheid en JSF-producent Lockheed Martin niet vrolijk van zijn geworden. Zo’n gehackt bedrijf kan z’n licentie kwijtraken.’ Het was waarschijnlijk niet de eerste noch laatste hack van een JSF-gerelateerd bedrijf. Het verhaal gaat dat de Chinezen hun eigen ‘JSF’, J-20 genaamd, zo ‘bij elkaar hebben gesprokkeld’.
Vorig jaar nog werd bekend dat bij een hack van een Australische producent van JSF-onderdelen dertig gigabytes aan data waren ontvreemd.
Voor Nederlandse hightech suppliers die onder meer werken voor aerospace & defense, inclusief de JSF, is ITAR uiterst relevant. ‘Zij moeten om daaraan te voldoen weten hoe ze hun processen moeten inrichten. ITAR beschrijft wat ze wel en niet met hun data mogen doen, maar gek genoeg blijft cybersecurity daarbij onderbelicht. ITAR schrijft veel procesmatige maatregelen voor (zoals classificatie van documenten en autorisatie van personen, red.), maar vraagt geen speciale maatregelen voor cybersecurity. Het stelt geen eisen aan het benodigde beveiligingsniveau of de controle daarop. Dus is het voor bedrijven een beetje van ‘zoek het zelf maar uit’. Dat ITAR procesmatige dingen voorschrijft is leuk, maar die volgen wil nog niet zeggen dat je de data per definitie goed hebt beveiligd.’ Kortom, je moet je cybersecurity goed op orde hebben en er dan maar van uitgaan dat het ITAR-compliant is. Maar hoe hoog het fysieke en virtuele ‘hek’ om het bedrijf ook is, de vraag blijft of dat voldoende is om aansprakelijkheid uit te sluiten als er toch een hack komt.
Mens, proces, techniek
Uiteraard kan Fox-IT ook over deze kwestie adviseren. ‘Wij hebben het al een aantal keren mogen oplossen voor gehackte bedrijven. Er zijn er ook die ons vragen vooraf mee te denken; dat doen we liever.’ Dan begint het bij bewustwording. In dit geval van de waarde die de ‘licence to operate’ vertegenwoordigt en van het risico die licentie te verliezen bij inbreuk op de vertrouwelijkheid van de data. Gevolgd door maatregelen om de beveiliging op orde te brengen en te monitoren om te kunnen detecteren of je wordt gehackt. En er moet een crisisplan komen: wat te doen als je toch bent gehackt? Van Oirschot: ‘Eerst moet je mensen bewust maken van de problematiek en de noodzaak om de juiste dingen te doen en laten. Daarvoor kun je in processen het nodige regelen en in een aantal gevallen zal nog wat technologie nodig zijn. Het gaat om de combinatie mens, proces en techniek – in die volgorde!’
