Supply chain management wordt steeds belangrijker in Nederland. Door de toenemende automatisering en de mate van informatie-uitwisseling tussen verschillende partijen in de keten, ketenpartners, neemt ook de noodzaak tot goede cybersecurity toe. De komende tijd zullen veel bedrijven, groot en klein, ontdekken dat ze belangrijk, zo niet essentieel zijn voor de Nederlandse maatschappij.
Dit is het gevolg van de Europese NIS2-verordening, die vóór medio 2024 vertaald moet zijn in Nederlandse wetgeving. Een van de onderwerpen binnen deze verordening is de aandacht voor de cyberveiligheid van de supply chain. Dat betekent dat je naast het borgen van jouw eigen cyberveiligheid, je ook de cyberveiligheid van de partijen waarmee je zaken doet moet toetsen. Voor NIS2, maar vooral voor de veiligheid van jouw bedrijf.
Just in time
Hoe komt ransomware een bedrijf binnen? Tegenwoordig is dat steeds vaker via de leveranciersingang. Want nu veel grote organisaties hun eigen cyberbeveiliging hebben versterkt, gaan criminelen op zoek naar zwakke schakels in de supply chain.
Daarbij maken ze dankbaar gebruik van trends als just in time-productie. Steeds meer organisaties laten leveranciers rechtstreeks in hun bedrijfssystemen kijken, om te zien wat en wanneer ze moeten leveren. Dat spaart tijd en menskracht. Bovendien vermindert het de kans op fouten.
Maar als een cybercrimineel binnen kan dringen bij zo’n leverancier, komt de klant ook in gevarenzone. Zelfs als hij zijn eigen beveiliging verder behoorlijk op orde heeft.
Aansprakelijk
Dit soort gevaren nemen zo snel toe dat er nu dus op Europees niveau wordt ingegrepen. Effectief beveiligen van de supply chain wordt verplicht. De veiligheid van jouw leveranciers wordt dus ook jouw verantwoordelijkheid.
Organisaties die hierin tekortschieten, kunnen boetes krijgen die oplopen tot 10 miljoen of meer. Bovendien kan het management hoofdelijk aansprakelijk gesteld worden.
De vraag is derhalve: wat kun je doen om jouw leveranciersketen te beveiligen?
Aandachtspunt 1: beperken
Om te beginnen: goed nadenken over wat een leverancier mag doen binnen jouw bedrijfsnetwerk, en vooral ook wáár. Zo beperk je de risico’s. Net als bij jouw eigen mensen moet Zero Trust het uitgangspunt zijn. Niemand mag toegang hebben tot data of netwerksectoren die niet nodig zijn om een taak uit te voeren.
Zorg dus voor een weloverwogen classificatie van al je bedrijfsgegevens. Even belangrijk is het dat heel het netwerk opgedeeld is in logische segmenten. Leveranciers worden langs de kortst mogelijke weg geleid naar de data die ze nodig hebben.
Aandachtspunt 2: bewaken
Het tweede aandachtspunt is het bewaken van je netwerk. Een ‘bezoeker’ met verkeerde intenties moet snel betrapt en gestopt kunnen worden.
Waarom? Stel dat je bijvoorbeeld het beheer van de firewall hebt uitbesteed. Als iemand de inloggegevens van die dienstverlener weet te bemachtigen en de instellingen aanpast, kan hij ongemerkt binnendringen.
Bewaking van je netwerk is mogelijk met NDR (Network Detection and Response), eventueel ook SIEM (analyse van loggegevens). Die systemen moeten daarbij extra aandacht hebben voor de activiteiten van leveranciersaccounts.
Aandachtspunt 3: afspreken
Ten derde is het belangrijk om goede afspraken te maken met leveranciers. En die zwart op wit, contractueel vast te leggen.
Bijvoorbeeld over de gegevens die je beschikbaar stelt en hoe de leverancier daarmee omgaat. Zijn ze bij hem veilig? Worden ze tijdig verwijderd? Als hij ze bewerkt, hoe krijg je ze dan terug?
Hoe krijgt de leverancier toegang? Kunnen medewerkers via hun leveranciersaccount geauthenticeerd worden? Als het met eigen bedrijfsaccounts moet, moet je regelmatig controleren dat dit nog nodig is, zodat hun accounts kunnen worden afgesloten wanneer dat niet meer zo is. Verder moet de leverancier zich verplichten om elk datalek en elke cyberaanval meteen bij jou te melden. Zodat je extra bewaking kunt activeren.
De kans is groot dat dit alles nog ontbreekt in jouw contracten. Dan zal dit alsnog besproken en vastgelegd moeten worden. Het kan lastig zijn om zo’n gesprek aan te gaan, maar beter nu dan middenin een cybercrisis.
Aandachtspunt 4: controleren
Afspraken zijn belangrijk. Daarom moeten ze ook gecontroleerd worden. Leg contractueel vast dat jouw leveranciers hun veiligheid geregeld laten beoordelen door onafhankelijke assessors en hun verklaring met je delen.
En laat zelf alle contactpunten waar leveranciers binnenkomen regelmatig ‘pentesten’: daar mogen geen zwakke plekken in zitten.
Cloudproviders
Leveranciers zijn niet alleen bedrijven die onderdelen leveren of systemen beheren: cloudproviders als Google en Microsoft vallen er eveneens onder. Het verschil is vooral dat je hun regels moet volgen in plaats van omgekeerd.
Niet alle cloudproviders bieden dezelfde mogelijkheden voor cybersecurity. Bij Amazon moet je veel zelf organiseren. Maar ook de voorzieningen van Google en Microsoft vragen deskundigheid om ze effectief te kunnen gebruiken. Met NIS2 wordt dit eveneens jouw verantwoordelijkheid.
ISO 27001
Je ziet het: er is een hoop te doen. Anderhalf jaar is daarvoor vrij kort. En het is allemaal niet makkelijk. Deskundige hulp is dan ook raadzaam, zeker wanneer er juridische afspraken over cybersecurity op papier moeten komen.
Gelukkig besteedt de jongste versie van de ISO 27001-norm voor cybersecurity ook aandacht aan de supply chain. Vanwege de toegenomen gevaren is hij tevens strenger geworden. Waar beveiliging vroeger wat à la carte kon, is de norm nu voor alle aandachtsgebieden comply or explain. Met dit alles lijkt het wel zeker dat security-auditors het straks vreselijk druk gaan krijgen.
Maar zoals gezegd: het is hard nodig. Veilig omgaan met leveranciers moet een tweede natuur worden. Want NIS2 beschermt de maatschappij. Maar de principes erachter beschermen jouw bedrijf.
