- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Type of Threat or Opportunity >
- Trend snippet: Increasingly dependence on foreign companies and products is undermining Dutch en European strategic sovereignty as well as introducing new vulnerabilities
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Increasingly dependence on foreign companies and products is undermining Dutch en European strategic sovereignty as well as introducing new vulnerabilities
As other states and foreign actors are further in the development and implementation of new technologies, the Netherlands and European Union are at risk of becoming increasingly dependent on foreign actors.
Groeiende afhankelijkheid van externe partijen
Een belangrijke ontwikkeling die ook gevolgen heeft voor de cyberweerbaarheid, is de groeiende afhankelijkheid van eindgebruikers voor het goed functioneren van digitale producten en diensten van buitenlandse technologiebedrijven. Zo worden steeds meer digitale diensten door verstrekkers van cloudtechnologie* geleverd. Dit creëert nieuwe risico’s: uitval van functionaliteit bij verstoring, en verlies van controle en zeggenschap over data en dataverwerking.
Ook voor de (verdere) ontwikkeling en implementatie van nieuwe technologieën als machine learning*, kwantumcomputing*, satelliet- en 5G-netwerken* geldt dat grote buitenlandse bedrijven vooroplopen. Nederland en de EU dreigen daardoor nog sterker afhankelijk te worden van buitenlandse partijen.
2.3 Groeiende afhankelijkheid van externe partijen
Ook in een tweede opzicht doen zich nieuwe kwetsbaarheden voor, die samenhangen met verschuivende afhankelijkheidsrelaties en daaraan verbonden risico’s. Burgers, bedrijven en overheden zijn voor het goed functioneren van de digitale producten en diensten waarvan ze gebruikmaken, in toenemende mate afhankelijk van externe, vaak buitenlandse partijen. Zo worden steeds meer digitale diensten door (een beperkt aantal) cloud providers geleverd, waardoor de eindgebruiker voor tal van functies afhankelijk wordt van de kwaliteit, continuïteit en vertrouwelijkheid van de dienstverlening.
De afhankelijkheid van externe partijen doet zich ook voor op globaal niveau. Nederland en EU kennen een beperkte eigen bedrijvigheid op het gebied van IT en cyberweerbaarheid. Zo is Nederland voor de aanleg van 5G-netwerken afhankelijk van enkele grote buitenlandse technologiebedrijven, waarbij het de vraag is welke risico’s daarmee gepaard gaan op het gebied van cyberweerbaarheid.
De afhankelijkheid van Nederland en de EU van externe partijen krijgt bovendien steeds meer een geopolitieke dimensie. Nederland en EU zitten op het globale IT- speelveld niet of nauwelijks nog ‘aan tafel’. Dat geldt ook voor ontwikkelingen op het gebied van machine learning en de kwantumcomputer. Dat roept de vraag op of Nederland en de EU niet te veel achterop raken en macht uit handen geven.
De risico’s die gepaard gaan met de verschuivende afhankelijkheidsrelaties worden hieronder meer in detail besproken.
2.3.1 Clouddiensten
Steeds opnieuw blijkt dat veel eindgebruikers over te weinig expertise en capaciteit beschikken om de cyberweerbaarheid van hun IT-systemen en -apparaten op orde te krijgen. Zoals hierboven reeds aan de orde is gekomen, worden ook relatief eenvoudige basisveiligheidsmaatregelen vaak niet of onvoldoende getroffen. Dat geldt zowel voor burgers als bedrijven en overheden. Maatregelen die de cyberweerbaarheid moeten verhogen, worden dan ook steeds vaker uitbesteed aan externe partijen middels clouddiensten.
Dit heeft significante voordelen, omdat cloudaanbieders over het algemeen meer expertise en capaciteit kunnen inzetten om data en processen te beveiligen dan de eindgebruikers. De behoefte aan dit soort diensten is ook aanzienlijk. Zo laat recent onderzoek zien dat 80 procent van de ondervraagde chief technology officers (CTO’s) aangeeft de cyberweerbaarheid binnen de eigen organisatie onvoldoende te kunnen borgen (Elumalai et al., 2018).
Het uitbesteden van maatregelen op het gebied van cyberweerbaarheid past in de bredere trend dat de cloud niet langer alleen wordt gebruikt om data op te slaan, maar meer en meer ook om allerlei diensten te leveren. Dat geldt zowel voor allerlei software die as-a-service wordt aangeboden, als voor allerlei dataverwerkings- processen die in de cloud plaatsvinden. Dat kan zo ver gaan dat een computer er vooral toe dient om het beeldscherm, het toetsenbord en de muis te verbinden met een clouddienst die alle programma’s uitvoert (desktop-as-a-service). De verwachting is dat deze trend zich de komende jaren verder zal doorzetten.
Het uitbesteden van verantwoordelijkheden aan cloudaanbieders heeft ook een keerzijde, want het creëert nieuwe risico’s: uitval van functionaliteit bij verstoring en verlies van controle en zeggenschap over data en dataverwerking.
Uitval van functionaliteit
Zodra dataverwerkingsprogramma’s niet langer op de eigen computer draaien maar in de cloud hun werk doen, leidt verstoring van de clouddienst tot uitval van functionaliteit. Dit risico kan één bepaalde taak treffen, maar ook meerdere taken tegelijk. Als meerdere taken zijn ondergebracht bij één cloudleverancier, en de clouddienst wordt verstoord of niet goed functioneert, kan dat leiden tot een Single Point of Failure. Denk aan een computersysteem dat zo veel programma’s extern draait dat het zonder clouddienst niet of nauwelijks bruikbaar is. En de verleiding is vaak groot om diverse taken bij één leverancier onder te brengen. Dat hangt samen met het feit dat de clouddienstverlening wordt gedomineerd door een klein aantal spelers, waaronder Amazon, Microsoft en IBM (Dignan, 2018).
Het is belangrijk de ernst van dit risico te onderstrepen: als bijvoorbeeld een ministerie of een netbeheerder veel processen via de cloud afneemt, staat of valt de geboden dienstverlening met het op orde zijn van de clouddienst. Onderzoeksbureau Gartner wijst in zijn Emerging Risk Report van 2018 dan ook op de hoge risico’s die zijn verbonden aan het gebruik van clouddiensten (Morris, 2018).
Verlies aan zeggenschap en controle
Een tweede risico van het gebruik van clouddiensten betreft het verlies aan controle en zeggenschap over data en dataverwerking. Naarmate data en dataverwerking meer in de cloud plaatsvinden, wint de vraag aan belang in hoeverre de cloudaanbieder zonder toestemming van de eindgebruiker data inziet, hergebruikt, met andere partijen deelt of de manier van verwerking verandert. Dat tast de autonomie van de eindgebruiker aan, omdat hij niet langer in de gelegenheid is te bepalen wie wat met zijn data doet.
Vendor lock-in
Het toenemende gebruik van clouddiensten is overigens niet altijd een vrije keuze van de eindgebruiker. Steeds vaker dwingen leveranciers gebruikers te kiezen voor een clouddienst, omdat ze stoppen het product aan te bieden dat op de eigen computer kan draaien. De migratiekosten die gepaard gaan met het overstappen naar een andere leverancier spelen daarbij een grote rol. De gebruikers worden als het ware ‘ingesloten’ door de leverancier (vendor lock-in).
2.3.2 5G- en satellietnetwerken
Ook voor de aanleg van 5G-netwerken en satellietnetwerken is sprake van een groeiende afhankelijkheid van externe partijen.
5G-netwerken
Slechts een beperkt aantal bedrijven heeft de expertise om 5G-netwerken aan te leggen en te onderhouden. Huawei, Nokia, Ericsson, Cisco en ZTE voorzien 90% van de markt voor netwerkapparatuur (Dell’Oro Group, 2019). Rondom het gebruik van apparatuur van marktleider Huawei is veel discussie ontstaan, omdat de zorg bestaat dat het bedrijf heimelijk gegevens die over het netwerk worden verstuurd, zou kunnen onderscheppen en kunnen delen met de Chinese overheid (Kaska et al., 2019).
Ook bestaan er zorgen over de kwaliteit van het netwerk. Het Britse Huawei Cyber Security Evaluation Centre (HCSEC) rapporteerde onlangs over ernstige tekortkomingen die een gevaar vormen voor de Britse nationale veiligheid. Basale maatregelen worden volgens het Centre door Huawei nagelaten, zoals het updaten van software-elementen met bekende kwetsbaarheden. Het HCSEC wees overigens al eerder op deze onvolkomenheden (HCSEC, 2019). Het rapport laat dus ook zien dat de bestuurlijke organen die toezien op het bouwen van de 5G- netwerken er vooralsnog niet in slagen de gewenste mate van veiligheid te waarborgen, en verbetering af te dwingen.
Maar het is belangrijk om niet alle pijlen te richten op Huawei. Gegeven de omvang en complexiteit van 5G-technologie geldt voor alle leveranciers dat het heel lastig, zo niet praktisch onmogelijk is om aan te tonen dat de apparatuur geen heimelijk geplaatste kwetsbaarheden bevat (Lysne, 2018). Ongeacht de leverancier en de maatregelen die gebruikers treffen om risico’s te beperken, blijft veiligheid daarom voor een deel een kwestie van vertrouwen. Het land waarin de leverancier is gevestigd speelt hierbij een rol, bijvoorbeeld vanwege de wet- en regelgeving waaraan de leverancier is gebonden (Kleinhans, 2019).
Satellietnetwerken
Het is de verwachting dat in de nabije toekomst ook satellietnetwerken een grotere rol gaan spelen in het internetverkeer. Diverse partijen, waaronder de firma’s Starlink en OneWeb, zijn van plan een groot aantal satellieten te lanceren waarmee wereldwijd breedband internet kan worden aangeboden (mega satellite constellations). Netwerken die zich richten op het verbinden van IoT-apparatuur zijn inmiddels beschikbaar via bijvoorbeeld de firma Iridium (McLean, 2019) en het Nederlandse Hiber (Blotenburg, 2018). Het feit dat Starlink een radiolicentie heeft gekregen van de Amerikaanse Federal Communications Commission voor 2200
satellieten (Boyle, 2018) en OneWeb voor 720 satellieten (Henry, 2018) geeft een indruk van de nog te verwachte omvang van de netwerken. Ook de Chinese firma LaserFleet heeft een begin gemaakt met het aanleggen van een breedband internetverbinding in 2018 (Jones, 2018). Als deze satellietnetwerken in de toekomst kunnen concurreren met nationale netwerken, zal dit naar verwachting leiden tot een grotere afhankelijkheid van Nederland van buitenlandse partijen wat betreft de zeggenschap over en het toezicht op deze communicatienetwerken.
2.3.3 Nederland en EU raken verder achterop
Landen als de Verenigde Staten en China en grote Amerikaanse en Chinese technologiebedrijven lopen voorop met investeringen in ontwikkelingen op het gebied van artificial intelligence/machine learning en de kwantumcomputer. Dit beeld wordt ondersteund door cijfers van de OECD. Private investeringen in AI in Europa liggen tot wel 5 keer lager dan in de VS. Ook het feit dat China jaarlijks meer dan 500 kwantumvindingen vastlegt in patenten, terwijl Europa het slechts bij enkele tientallen houdt, wijst in die richting (EPSC, 2019).
Nederland en EU dreigen hierdoor nog verder achterop te raken en nog afhankelijker te worden van externe, buitenlandse partijen (European Commission, 2018). Ondanks recent door de EU aangekondigde investeringen in onderzoek naar kwantumtechnologie, is het maar zeer de vraag of een Europese partij uiteindelijk in staat zal zijn om een kwantumcomputer succesvol op de markt te brengen.
Een vergelijkbaar verhaal geldt voor de bedrijvigheid die de EU weet te ontwikkelen op het gebied van cyberweerbaarheid. Genormaliseerd naar het Bruto Binnenlands Product neemt de EU een negende plaats in op de internationale ranking van cybersecuritybedrijven, na Israël, de Verenigde Staten, Nieuw Zeeland, Canada, Zwitserland, Singapore, Hong Kong en India. Terwijl driekwart van de meest innovatieve cybersecuritybedrijven uit de VS komt, komt slechts één op de tien uit de EU. Dit wordt mede geweten aan een gefragmenteerde regelgeving binnen de EU en een gebrek aan standaarden (STOA, 2017).