GRC software selectietrajecten conform bijvoorbeeld de aanbestedingswet stellen veel vragen over de leverancier. Krijg je daardoor een compleet overzicht van je GRC software leverancier? En controleer je ook wat je vraagt?
De Chinese videoapp TikTok groeit als kool. Ook in Nederland. De afgelopen weken duiken verhalen op van privacy-problemen met de app. Deze week werd in de VS een gezamenlijke rechtszaak aangespannen tegen TikTok, waarin wordt geclaimd dat de app “veel data” met de Chinese overheid deelt.
Huawei case
Ook een jaar geleden was er nogal ophef over het gebruik van Chinese hard- en software binnen de Nederlandse overheid.
Google moest, nu de Amerikaanse regering de Chinese smartphonegigant Huawei op haar zwarte lijst heeft gezet vanwege vermeende hulp bij Chinese digitale staatsspionage, gehoor geven aan een dwingende oproep om de technologische banden met Huawei te verbreken. Google loopt anders het risico door Washington te worden aangepakt.
Is na de Huawei de angst gerechtvaardigd dat Chinese bedrijven onder druk van de Chinese overheid achterdeurtjes in hun apparatuur en software inbouwen die geheime diensten in staat te stellen om te spioneren. Of worden we onterecht bang gemaakt.
En als Google al moet stoppen kun je bijvoorbeeld als Nederlandse overheidsorganisatie dan wel fully in control zijn als je Chinese software inzet? En is de software uit India dan wel betrouwbaar als je weet dat een gedeelte van de software voor de Boeing 737 MAX uit India kwam?
Kans berekening en in ieder geval wel voorbereiden
Heel eerlijk kunnen we niet weten of de software uit China of India betrouwbaar is. De kans op privacy issues is klein maar niet nihil. Maar als het dan toch mis gaat zal de impact behoorlijk groot zijn. Helemaal geen beheersing is dan geen optie. Wat kun je wel doen?
Risicobeheersing software
- Vraag of de software wel in Nederland is gebouwd en gehost?
- Check op LinkedIn of er daadwerkelijk developers werken bij de softwareleverancier?
- Is er een ISO certificering bv. 27001 en wordt dit ook doorleeft tussen de certificeringsmomenten door?
- Zou de organisatie bereid zijn om haar broncode, in ieder geval, in te laten zien.
- Hoeveel echt tevreden klanten zijn er? En kun je de referenties checken?
- Delen zij kennis middels blogs, evenementen zoals gebruikersdagen, sociale media?
- Heb je wel eens meer dan 1 persoon gesproken van deze organisatie? 2,3,4? Ben je wel eens op hun kantoor geweest?
- Laten ze weleens een pen test doen van hun software?
- Kan je bellen met Support? Is er een telefoonnummer te vinden?
Neem deze vragen eens bewust mee en laat je verassen. Dan ben je niet fully in control maar risicobewust!