Cryptographic Asset Discovery and Inventory
report
Dit document is het resultaat van een onderzoek naar commercieel beschikbare tooling voor Cryptographic Asset Discovery & Inventory (CADI). Het doel van CADI is het creƫren van een overzicht van alle cryptografie die binnen een organisatie gebruikt wordt. Zo'n overzicht is belangrijk vanuit veiligheidsoverwegingen en in het bijzonder met het oog op de aanstaande migratie naar post-quantum cryptografie (PQC). Er is input verzameld via een workshop met technische en beleidsmatige stakeholders van de overheid, alsmede middels desk research en gestructureerde interviews met leveranciers van producten. Op basis hiervan zijn er eisen opgesteld voor een minimum viable product (MVP) en een ideale CADI-tool. Dit onderzoek is gefinancierd door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), het Na-tionaal Cyber Security Centrum (NCSC) en het Ministerie van Economische Zaken (EZK). De resultaten van dit onderzoek zijn zodoende relevant voor overheidspartijen, maar kunnen ook inzichten bieden voor bredere publieke en private organisaties. Tijdens het onderzoek is gebleken dat er veel verschillen zitten tussen de verschillende CADI-tools, zowel op technisch niveau als in volwassenheid van het product. Het ideaal voor IT-omgevingen wordt nog niet helemaal bereikt, maar enkele tools komen wel in de buurt. We concluderen dat de inzet van CADI-tooling een afweging is waarbij grotere nauwkeurigheid schaalt met grotere inspanning. Ook zijn bestaande fullstack-oplossingen voor CADI veelal prijzig en komen ze niet uit Europa. Het beheren van IT-assets in brede zin wordt in veel or-ganisaties reeds als complex gezien, dus is het zaak dat CADI goed aansluit bij bestaande oplossingen. Hiervan zijn de leveranciers van CADI-tooling zich bewust en er wordt gewerkt aan integratie met bestaande, generiekere cybersecurity- en assetmanagementproducten.
Daarnaast zien we dat CADI-tooling op het vlak van operational technology (OT) minder ver gevorderd is dan op het vlak van information technology (IT) . Zo is er bijvoorbeeld weinig bestaande OT-tooling om op aan te haken en geven sommige leveranciers aan geen inte-resse te hebben om hun producten uit te breiden met support voor OT. OT speelt echter een steeds belangrijkere rol binnen de overheid, voor bijvoorbeeld vitale infrastructuren, en wordt ook steeds meer gekoppeld aan het internet. Hierdoor achten wij CADI wel als zeer re-levant voor OT. We adviseren dan ook om op OT-vlak in CADI meer samen te gaan werken met andere stakeholders en werk te maken van de wet- en regelgeving rondom cryptografi-sche inventarisatie binnen de overheid. Zie ook Strategische Kennisagenda BZK en VRO 2025-2030. Om de prestaties van verschillende CADI-tools in concrete zin te vergelijken moet men de tools in een gecontroleerde omgeving testen. We zien hier kansen voor de betrokken over-heidspartijen: wellicht kunnen deze hun kennis en inzicht in dit onderwerp vergroten door te faciliteren in het bepalen van een ground truth, die als baseline kan dienen voor het meten van kwaliteit van verschillende CADI-producten. Daarnaast kunnen ze hun kennis- en lei-derspositie rondom CADI versterken met slimme overheidsaanbestedingen rondom CADI-tooling, PQC-migratie, en diensten daaromtrent. Ten slotte adviseren wij om niet te wachten op de ideale tool of andermans best-practices rondom CADI. Het is zaak om zo snel mogelijk van start te gaan met het bouwen van kennis en kunde rondom de cryptografische assets. Daarvoor kan begonnen worden met het winnen van informatie uit bestaande, reeds draaiende tools. Daarnaast kunnen de over-heidspartijen middels invloed en aanbestedingen (markt)partijen stimuleren om de aanwe-zige tekortkomingen, gaps, aan te vullen.
Daarnaast zien we dat CADI-tooling op het vlak van operational technology (OT) minder ver gevorderd is dan op het vlak van information technology (IT) . Zo is er bijvoorbeeld weinig bestaande OT-tooling om op aan te haken en geven sommige leveranciers aan geen inte-resse te hebben om hun producten uit te breiden met support voor OT. OT speelt echter een steeds belangrijkere rol binnen de overheid, voor bijvoorbeeld vitale infrastructuren, en wordt ook steeds meer gekoppeld aan het internet. Hierdoor achten wij CADI wel als zeer re-levant voor OT. We adviseren dan ook om op OT-vlak in CADI meer samen te gaan werken met andere stakeholders en werk te maken van de wet- en regelgeving rondom cryptografi-sche inventarisatie binnen de overheid. Zie ook Strategische Kennisagenda BZK en VRO 2025-2030. Om de prestaties van verschillende CADI-tools in concrete zin te vergelijken moet men de tools in een gecontroleerde omgeving testen. We zien hier kansen voor de betrokken over-heidspartijen: wellicht kunnen deze hun kennis en inzicht in dit onderwerp vergroten door te faciliteren in het bepalen van een ground truth, die als baseline kan dienen voor het meten van kwaliteit van verschillende CADI-producten. Daarnaast kunnen ze hun kennis- en lei-derspositie rondom CADI versterken met slimme overheidsaanbestedingen rondom CADI-tooling, PQC-migratie, en diensten daaromtrent. Ten slotte adviseren wij om niet te wachten op de ideale tool of andermans best-practices rondom CADI. Het is zaak om zo snel mogelijk van start te gaan met het bouwen van kennis en kunde rondom de cryptografische assets. Daarvoor kan begonnen worden met het winnen van informatie uit bestaande, reeds draaiende tools. Daarnaast kunnen de over-heidspartijen middels invloed en aanbestedingen (markt)partijen stimuleren om de aanwe-zige tekortkomingen, gaps, aan te vullen.
TNO Identifier
1017851
Publisher
TNO
Collation
64 p.
Place of publication
Eindhoven