Wat is een SBoM?

SBoM staat voor 'Software Bill of Materials'. Je kunt dit zien als een ingrediëntenlijst van software. Het is een lijst van alle componenten, bibliotheken en frameworks die worden gebruikt in een specifiek softwareproduct. Een SBoM kan ook informatie bevatten over de versies van de componenten, hun licenties en eventuele bekende beveiligingsproblemen. Een SBoM wordt gebruikt bij het beheren van software, het opsporen van dreigingen en het verminderen van cyberrisico's.

Waarom is een SBoM belangrijk?

Een SBoM kan waardevol zijn omdat je dan weet wat je in huis hebt aan software. Als je weet welke software voor jou relevant is en welke onderdelen daarin zitten, levert je dat voordeel op bij de volgende uitdagingen:

• Beveiliging: door een SBoM te gebruiken kunnen bedrijven de softwarecomponenten in hun producten beter beheren en beveiligen. Zo kun je sneller reageren op beveiligingsproblemen in de componenten door de juiste versies te identificeren en bij te werken.
• Compliance: veel regelgeving en industrienormen vereisen dat organisaties hun softwarecomponenten beheren en beveiligen. Door een SBoM te gebruiken kunnen bedrijven aantonen dat ze voldoen aan deze vereisten.
• Kostenefficiëntie: door een SBoM te gebruiken, kunnen bedrijven hun softwarecomponenten beter beheren. Ook het oplossen van problemen kan sneller en dat is kostenbesparend.

De Log4j-kwetsbaarheid is een voorbeeld waarbij een SBoM had kunnen helpen om snel te achterhalen of er een bepaalde component in je software verwerkt zit. Destijds bleek dat veel organisaties niet wisten of er Log4j gebruikt was in hun bedrijfssoftware. Een SBoM met inzicht in welke componenten, biblioteken en frameworks gebruikt zijn in een stuk software had in de Log4j-kwetsbaarheid veel uitzoekwerk en tijd gescheeld.

Kun je zelf een SBoM opstellen?

Als ondernemer ben je vaak gebruiker van bestaande systemen en software. Een SBoM maken van alle software die je gebruikt zou daarom enorm veel tijd en geld kosten. Een belangrijke doelgroep van de SBoM zijn daarom de leveranciers van deze systemen en software. Als zij de SBoM onderdeel maken van hun werkwijze, kan de hele keten hiervan profiteren. Vraag er dus naar bij de aanschaf van een nieuw systeem of softwarepakket!

Wat zijn de risico’s?

Ben je klaar als je een SBoM hebt? Nee, helaas veranderen systemen en software met grote regelmaat. Het betrouwbaar houden van een SBoM is dus nodig. Beleg dit proces daarom bij een vast persoon in de organisatie. Voorkom dat in de SBoM niet de juiste en actuele informatie staat. Het is dus van groot belang dat iedereen in de keten zich inzet om de SBoM up-to-date te houden!

Waar start je?

Zorg ervoor dat je dit (laat) implementeren. Hier zijn enkele stappen die ondernemers en cybersecurity verantwoordelijken kunnen volgen om SBoM te implementeren:

1. Start met een inventarisatie, dus maak een lijst van software componenten in producten en diensten die je gebruikt. Heb je deze zelf gemaakt zorg dan voor een lijst. Heb je deze gekocht? Neem dan contact op met je leverancier(s) en vraag of zij een SBoM hebben en toe kunnen sturen.
2. Zorg dat je de vraag om een SBoM onderdeel maakt van de aanschaf van nieuwe systemen en software.
3. Controleer periodiek - bijvoorbeeld bij de review van je informatiebeveiligingsbeleid - van welke systemen en software je de SBoM nog niet hebt en bepaal wat dit voor de digitale weerbaarheid van je bedrijf betekent.