Het is bekend dat de digitale weerbaarheid van je organisatie zo sterk is als de zwakste schakel. In een tijd waarin nog steeds een digitale transformatie plaatsvindt en digitale ketenprocessen de norm zijn, kan die zwakke plek ook heel goed buiten de organisatie zitten. Om business continuïteit te garanderen en te voldoen aan aangescherpte wet- en regelgeving is het essentieel deze kwetsbaarheden al in een vroeg stadium te mitigeren. Breng de keten in kaart en integreer security in het supply chain management (leveranciersmanagement).
In hoeverre heb je invloed op de informatiebeveiliging van de leveranciers in de leveranciersketen? Wat weet je van de mate van bescherming die deze leveranciers bieden voor hun eigen en jouw gevoelige data in de systemen van deze derde partijen? Hoe afhankelijk ben je van de services van je ketenpartners? Wie zijn de leveranciers van je leveranciers? Deze vragen zullen vast ook bij jouw organisatie naar boven zijn gekomen toen de datalekken naar buiten kwamen van grote namen als NS, VodafoneZiggo en CZ. Zij werken allen samen met hetzelfde marktonderzoeksbureau, en bij een softwareleverancier van dat bureau wisten cyberaanvallers binnen te dringen. Alle partijen haastten zich te zeggen dat er geen wachtwoorden of andere credentials zijn buitgemaakt. Het gaat in dit geval voornamelijk om namen, e-mailadressen en telefoonnummers. Weliswaar kunnen criminelen hier niet direct munt uit slaan, maar deze data kunnen wel ingezet worden om phishing-aanvallen uit te zetten. De getroffen bedrijven waarschuwen hun klanten hier terecht voor. Wat dit omvangrijke datalek vooral toont, is hoe kwetsbaar je bent als organisatie wanneer er iets misgaat bij een partner van een partner. Zó ver moet je dus gaan om de veiligheid en integriteit in de leveranciersketen te monitoren en te realiseren.
Scherpe eisen voor ketenverantwoordelijkheid
Nu komt niet direct de continuïteit van de operatie in gevaar bij bovenstaand voorbeeld. Treinen kunnen gewoon rijden en klanten kunnen gewoon mobiel bellen. Maar als organisatie heb je wel de plicht zorgvuldig om te gaan met klantgegevens, ongeacht of deze verwerkt worden door derden. Dat het belangrijk is om de cyberveiligheid in de leveranciersketen zorgvuldig te regelen wordt ondermeer duidelijk uit de update van de Network en Information Security richtlijn die de EU eind 2022 uitvaardigde. Deze NIS 2 volgt op de NIS van 2016. In Nederland wordt NIS 2 geïmplementeerd door middel van een update op de Wbni uit 2018, de Wet Beveiliging Netwerk- en Informatiesystemen en deze wordt geactiveerd in oktober 2024. NIS 2 stelt scherpe eisen als het gaat om ketenverantwoordelijkheid in relatie tot cybersecurity. Als organisatie blijf je verantwoordelijk en word je geacht de staat van de securitymaatregelen van ketenpartners te beoordelen en je daarover te kunnen verantwoorden. Zo moet je er als organisatie onder andere op toezien dat de kwaliteit van de securityproducten en -diensten in orde en up-to-date is in overeenstemming met jouw standaarden en de eisen die je hebt gesteld aan de leverancier.
Kwetsbaar in de keten
Dit is uiteraard een logische ontwikkeling en een antwoord op het feit dat organisaties nu geheel of in hoge mate digitaal georganiseerd zijn. Momenteel komt het helaas nog regelmatig voor dat wanneer cyberaanvallers eenmaal binnen zijn, zij ongebreideld hun weg vinden door het landschap van de digitaal aan elkaar geknoopte informatiesystemen. Klanten, leveranciers en (logistieke) dienstverleners werken nauw samen met behulp van geïntegreerde platforms. Dit maakt de scheidslijnen tussen partijen een stuk minder duidelijk en een kwetsbaarheid bij de ene ketenpartner kan net zo gevaarlijk zijn voor de andere partijen in die keten. Voorbeelden als Kaseya, Solarwinds en de gemeente Buren liggen daarbij nog vers in het geheugen. Waar de impact het grootst is, is dan weer afhankelijk van het door een aanval of datalek geraakte waardeobject voor een partij. Een waardeobject kan informatie zijn, maar ook reputatie. Hoewel deze ketenintegratie erg veel efficiencyvoordelen met zich meebrengt, moet je dus wel goed nagaan hoe ketenpartners hun security hebben geregeld. Een andere mogelijkheid is om samen met ketenpartners te onderzoeken wat de mogelijkheden zijn voor bijvoorbeeld het regelen van goede toegangsbeveiliging tot SaaS-applicaties.
Vertrouwen
Goede samenwerking in de keten is voor een belangrijk deel gebaseerd op wederzijds vertrouwen. Zo vertrouwt organisatie A erop dat organisatie B de taken uitvoert zoals is afgesproken en vertrouwt organisatie B erop dat organisatie A betaalt voor de geboden dienstverlening. Dat betekent dat er naast vertrouwen ook duidelijke afspraken zijn.
Vertrouwen in een digitale keten is weer gebaseerd op de betrouwbaarheid van systemen voor het veilig kunnen uitwisselen van informatie. Voor het optimaliseren van deze betrouwbaarheid is het in kaart brengen en monitoren van partijen en risico’s in je huidige organisatieomgeving stap één. Vervolgens is het van belang om met partijen waarvoor een grote wederzijdse afhankelijkheid is – doorgaans de ketenpartners – in gesprek te gaan. Een gesprek over verwachtingen ten aanzien van het gewenste betrouwbaarheidsniveau in de keten en de risico’s. Je eigen informatiebeveiligingsbeleid is hierin leidend. Voor andere partijen kan het het stellen van securityeisen bij de selectie en aanschaf van een product of dienst voldoende zijn. Breng samen met uw partners de kwetsbaarheden in de keten in beeld en help elkaar bij het versterken van de zwakke plekken. Om daadwerkelijk inzicht te krijgen, is het belangrijk om de partijen in de keten te monitoren.
Maar vergeet niet dat je als organisatie vanuit NIS 2 en Wbni je moet kunnen verantwoorden en dat je moet kunnen aantonen dat je leveranciers aan de afspraken (en beveiligingseisen) hebben voldaan.
Integreer ketensecurity in beleid en processen
Het in kaart brengen en monitoren van ketenpartners mag geen eenmalige actie zijn, maar moet vertaald worden naar beleid, dat bovendien breed in de organisatie gedragen wordt.
Een manier om dit te bereiken is om deze activiteiten zoveel mogelijk toe te passen in bestaande processen. Hierbij is het van belang om de hele levenscyclus van een derde partij mee te nemen. Dit begint bij het denken in termen van cybersecurity bij de selectie en aanschaf van een product of dienst in bijvoorbeeld aanbestedingsprocedures.
Naast prijs en kwaliteit moet er rekening worden gehouden met de getroffen securitymaatregelen en de risico’s die aan het product of de dienst verbonden zijn. Dit betekent ook dat de afdeling inkoop nauw moet samenwerken met security-experts binnen de organisatie. Gezamenlijk zal inzicht moeten worden gekregen waar gevoelige en waardevolle data en processen zich in de keten bevinden, hoe deze beveiligd zijn en welke waarborgen er zijn ingebouwd. Vervolgens bepaal je de wijze waarop je gaat monitoren in hoeverre ketenpartners contracten en overeenkomsten naleven. Wat zijn hun prestaties op het gebied van security? De uiterste remedie betekent: afscheid nemen van partijen die om welke reden dan ook niet aan jouw standaarden kunnen voldoen.
Besef hierbij wel dat het hier om specifieke expertise gaat. Je security-experts zijn wellicht prima in staat om je eigen toch al complexe proces- en IT-landschap dagelijks te beheren, maar het overzien van alle IT-activiteiten in de keten is een uitdaging. Klop hiervoor aan bij je securitypartner of ga te rade bij een branchevereniging die, nu nieuwe NIS 2-regelgeving aanstaande is, de regie zou kunnen pakken. Leer van de voorbeelden uit de branche en maak gebruik van eventuele cases. Zo kan security in de keten bij een goede implementatie worden omgezet in een concurrentievoordeel.
Het steeds meer uitbesteden van je IT-omgeving naar partners, denk aan cloud-oplossingen, vergt ook een andere interne expertise. In plaats van het technisch en functioneel beheren van systemen, moet er “regie” plaatsvinden. Dat wil zeggen; overzicht bewaren hoe alle uitbestede omgevingen met elkaar communiceren (op veilige wijze), het vertalen van de wensen van je organisatie naar diensten en het communiceren met deze leveranciers.
Conclusie
Alle partijen in de keten, van grondstoffenleverancier tot consument, zijn erbij gebaat dat de samenwerking op het gebied van security vlot, efficiënt en veilig verloopt. Werk daarom samen en doe dit op continue basis. Schakel waar nodig experts in, maar zorg dat je zelf weet wat belangrijk is en wat beschermd moet worden voor je organisatie. Jij bent en blijft namelijk verantwoordelijk voor jouw data. Laat hoe je de bescherming regelt, terugkomen in (informatiebeveiligings)beleid en operationele processen. Met het nadenken over cybersecurity en het oplossen van kwetsbaarheden in de keten zorg je er ook voor dat de interoperabiliteit in de keten wordt verbeterd en dat je zo uiteindelijk tot betere bedrijfsresultaten komt. Zie security in de keten dan ook als een kans, niet als een noodzakelijk kwaad.