Supply chain management wordt steeds belangrijker in Nederland. Door de toenemende automatisering en de mate van informatie-uitwisseling tussen verschillende partijen in de keten, ketenpartners, neemt ook de noodzaak tot goede cybersecurity toe. De komende tijd zullen veel bedrijven, groot en klein, ontdekken dat ze belangrijk, zo niet essentieel zijn voor de Nederlandse maatschappij.
Dit is het gevolg van de Europese NIS 2-verordening, die vóór medio 2024 vertaald moet zijn in Nederlandse wetgeving. Een van de onderwerpen binnen deze verordening is de aandacht voor de cyberveiligheid van de supply chain. Dat betekent dat u naast het borgen van uw eigen cyberveiligheid, u ook de cyberveiligheid van de partijen waarmee u zaken doet moet toetsen. Voor NIS 2, maar vooral voor de veiligheid van uw bedrijf.
Just in time
Hoe komt ransomware een bedrijf binnen? Tegenwoordig is dat steeds vaker via de leveranciersingang. Want nu veel grote organisaties hun eigen cyberbeveiliging hebben versterkt, gaan criminelen op zoek naar zwakke schakels in de supply chain.
Daarbij maken ze dankbaar gebruik van trends als just in time-productie. Steeds meer organisaties laten leveranciers rechtstreeks in hun bedrijfssystemen kijken, om te zien wat en wanneer ze moeten leveren. Dat spaart tijd en menskracht. Bovendien vermindert het de kans op fouten.
Maar als een cybercrimineel binnen kan dringen bij zo’n leverancier, komt de klant ook in gevarenzone. Zelfs als hij zijn eigen beveiliging verder behoorlijk op orde heeft.
Aansprakelijk
Dit soort gevaren nemen zo snel toe dat er nu dus op Europees niveau wordt ingegrepen. Effectief beveiligen van de supply chain wordt verplicht. De veiligheid van uw leveranciers wordt dus ook úw verantwoordelijkheid.
Organisaties die hierin tekortschieten, kunnen boetes krijgen die oplopen tot 10 miljoen of meer. Bovendien kan het management hoofdelijk aansprakelijk gesteld worden.
De vraag is derhalve: wat kunt u doen om uw leveranciersketen te beveiligen?
Aandachtspunt 1: beperken
Om te beginnen: goed nadenken over wat een leverancier mag doen binnen uw bedrijfsnetwerk, en vooral ook wáár. Zo beperkt u de risico’s. Net als bij uw eigen mensen moet Zero Trust het uitgangspunt zijn. Niemand mag toegang hebben tot data of netwerksectoren die niet nodig zijn om een taak uit te voeren.
Zorg dus voor een weloverwogen classificatie van al uw bedrijfsgegevens. Even belangrijk is het dat heel uw netwerk opgedeeld is in logische segmenten. Leveranciers worden langs de kortst mogelijke weg geleid naar de data die ze nodig hebben.
Aandachtspunt 2: bewaken
Het tweede aandachtspunt is het bewaken van uw netwerk. Een ‘bezoeker’ met verkeerde intenties moet snel betrapt en gestopt kunnen worden.
Waarom? Stel dat u bijvoorbeeld het beheer van uw firewall hebt uitbesteed. Als iemand de inloggegevens van die dienstverlener weet te bemachtigen en de instellingen aanpast, kan hij ongemerkt binnendringen.
Bewaking van uw netwerk is mogelijk met NDR (Network Detection and Response), eventueel ook SIEM (analyse van loggegevens). Die systemen moeten daarbij extra aandacht hebben voor de activiteiten van leveranciersaccounts.
Aandachtspunt 3: afspreken
Ten derde is het belangrijk om goede afspraken te maken met leveranciers. En die zwart op wit, contractueel vast te leggen.
Bijvoorbeeld over de gegevens die u beschikbaar stelt en hoe de leverancier daarmee omgaat. Zijn ze bij hem veilig? Worden ze tijdig verwijderd? Als hij ze bewerkt, hoe krijgt u ze dan terug?
Hoe krijgt de leverancier toegang? Kunnen medewerkers via hun leveranciersaccount geauthenticeerd worden? Als het met eigen bedrijfsaccounts moet, moet u regelmatig controleren dat dit nog nodig is, zodat hun accounts kunnen worden afgesloten wanneer dat niet meer zo is. Verder moet de leverancier zich verplichten om elk datalek en elke cyberaanval meteen bij u te melden. Zodat u extra bewaking kunt activeren.
De kans is groot dat dit alles nog ontbreekt in uw contracten. Dan zal dit alsnog besproken en vastgelegd moeten worden. Het kan lastig zijn om zo’n gesprek aan te gaan, maar beter nu dan middenin een cybercrisis.
Aandachtspunt 4: controleren
Afspraken zijn belangrijk. Daarom moeten ze ook gecontroleerd worden. Leg contractueel vast dat uw leveranciers hun veiligheid geregeld laten beoordelen door onafhankelijke assessors en hun verklaring met u delen.
En laat zelf alle contactpunten waar leveranciers binnenkomen regelmatig ‘pentesten’: daar mogen geen zwakke plekken in zitten.
Cloudproviders
Leveranciers zijn niet alleen bedrijven die onderdelen leveren of systemen beheren: cloudproviders als Google en Microsoft vallen er eveneens onder. Het verschil is vooral dat u hun regels moet volgen in plaats van omgekeerd.
Niet alle cloudproviders bieden dezelfde mogelijkheden voor cybersecurity. Bij Amazon moet u veel zelf organiseren. Maar ook de voorzieningen van Google en Microsoft vragen deskundigheid om ze effectief te kunnen gebruiken. Met NIS 2 wordt dit eveneens uw verantwoordelijkheid.
ISO 27001
U ziet het: er is een hoop te doen. Anderhalf jaar is daarvoor vrij kort. En het is allemaal niet makkelijk. Deskundige hulp is dan ook raadzaam, zeker wanneer er juridische afspraken over cybersecurity op papier moeten komen.
Gelukkig besteedt de jongste versie van de ISO 27001-norm voor cybersecurity ook aandacht aan de supply chain. Vanwege de toegenomen gevaren is hij tevens strenger geworden. Waar beveiliging vroeger wat à la carte kon, is de norm nu voor alle aandachtsgebieden comply or explain. Met dit alles lijkt het wel zeker dat security-auditors het straks vreselijk druk gaan krijgen.
Maar zoals gezegd: het is hard nodig. Veilig omgaan met leveranciers moet een tweede natuur worden. Want NIS 2 beschermt de maatschappij. Maar de principes erachter beschermen uw bedrijf.