Hoe keur je cybervolwassenheid van je toeleveranciers? (Antwoord: met hulp van het NCSC)
- Veel hackaanvallen gebeuren via een vertrouwde toeleverancier.
- Cybervolwassenheid van partners is dus cruciaal voor jouw organisatie.
- Maar hoe keur je in welke mate een bedrijf cyber(on)volwassen is?
- Lees ook: ASML geeft antihacklessen
Je kunt je eigen systemen nog zo goed beveiligen, als je toeleverancier dat niet doet, bestaat er nog steeds een kans dat klanten van bedrijven of inwoners van gemeenten en provincies slachtoffer worden van een datalek. Hoe bescherm je die derden tegen de gevolgen van een cyberaanval elders in de keten? Het NCSC brengt een handreiking met good practices uit.
210 inwoners van Etten-Leur ontvingen onlangs een brief dat ze mogelijk slachtoffer zijn van een datalek. Hackers hadden mogelijk hun namen, woonadressen en e-mailadressen in handen. Niet omdat de gemeente slordig was, maar omdat deze mensen een digitale enquête hadden ingevuld, waarbij software werd gebruikt van softwarebedrijf Nebu, dat in maart te maken kreeg met een groot datalek. Inwoners van de gemeente Woerden werden mogelijk slachtoffer van hetzelfde lek. Mogelijk, omdat ook na afronding van het onderzoek door Nebu zelf niet duidelijk is welke data zijn buitgemaakt en door wie.
Weinig zicht op risico's
Etten-Leur en Woerden stelden de inwoners zelf maar op de hoogte, maar toen was het leed (nogmaals: mogelijk) al geschied. Wat kunnen overheidsorganisaties doen om te voorkomen dat inwoners de dupe zijn van aanvallen op derde partijen? En wat kunnen bedrijven doen om hun klanten daartegen te beschermen? Dat is lastig. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten concludeerde de Informatiebeveiligingsdienst eerder al dat er weinig zicht is op feitelijke risico’s wanneer ICT-zaken zijn uitbesteed.
Toch is het ook weer niet helemaal een kwestie van stilletjes afwachten en er het beste van hopen. Het Nationaal Cyber Security Centrum (NCSC) verzamelde good practices van Nederlandse publieke en private organisaties over omgaan met risico’s in de toeleveringsketen. De scope varieert van afhankelijkheden (zoals de keer dat er kwetsbaarheden in Log4j werden ontdekt en deze softwarebouwsteen ‘het digitale equivalent van zout’ bleek te zijn), tot geopolitieke ontwikkelingen die invloed hebben op de veiligheid van de keten.
Assets en kroonjuwelen
In de online gratis te downloaden handreiking geeft het NCSC enkele praktische handvaten, primair bedoeld voor CIO's, CISO's en risicomanagers. Het begint allemaal met het verkrijgen van een actueel overzicht van de assets, informatie of digitale systemen die van waarde zijn voor een organisatie. Daarbij is essentieel om goed te weten wat de kroonjuwelen zijn; de informatie of informatiesystemen die het allerbelangrijkst zijn. De ICT-afdeling onderhoudt normaal gesproken een asset-overzicht, legt het NCSC uit in de handreiking.
Een Software Bill of Material (SBOM) beschrijft de componenten waaruit een stuk software is opgebouwd en de relaties tussen deze componenten. Door SBOM's te gebruiken weet je welke software wordt gebruikt en waar die verschillen componenten vandaan komen. Vergeet ook de shadow IT niet; de handige tooltjes die medewerkers gebruiken, maar die niet worden ondersteund door de ICT-afdeling en daar dus mogelijk niet bekend of niet goed in beeld zijn.
Ook van de toeleveranciers van alle afdelingen binnen de organisatie wil je een dergelijk actueel overzicht hebben. Het crediteurenoverzicht van de inkoopafdeling kan een belangrijke bron van informatie zijn. Leg die eens naast het overzicht van de ICT-afdeling, adviseert het NCSC.
Leveranciers classificeren
Vervolgens is het zaak om de leveranciers te classificeren en prioriteren. Wie is er verbonden met de kroonjuwelen? Welke leverancier is per se nodig voor het functioneren van de kritieke processen? Wie hebben er toegang tot vertrouwelijke systemen en data? Het NCSC benadrukt dat daarbij vooral ook gedacht moet worden aan leveranciers die persoonsgegevens van medewerkers, klanten of relaties gebruiken voor marketing en communicatie. Het recente praktijkgeval van Nebu maakt duidelijk dat naast marketing en communicatie ook het uitvoeren van enquêtes een activiteit is die datalekgevoelig kan zijn.
De handreiking stelt verder de rake vraag: "Over welke leveranciers maakt u zich zorgen vanwege een slechte reputatie? Deze leveranciers verdienen mogelijk extra aandacht omdat er binnen uw organisatie, of bij uw partners, slechte ervaringen mee bestaan. Ook als een leverancier betrokken is bij een informatiebeveiligingsincident zoals een datalek kan dat een aanleiding zijn om deze leverancier te bekijken."
Hoe kom je er nou achter wat de mate van cybervolwassenheid van een toeleverancier is, en met welke kritieke afhankelijkheden deze leverancier op zijn beurt te maken heeft? Een goed gesprek vormt de basis om erachter te komen, aldus het NCSC. Wissel ervaringen uit met sectorgenoten, maak gebruik van cybersecurity ratings en raamwerken zoals het self assesment van CYRA.
Sabotage en spionage
Waar het gaat om geopolitieke ontwikkelingen, adviseert het NCSC om ook sabotage en spionagerisico’s mee te nemen in de periodieke risicoanalyse. Zo besloot de rijksoverheid om het gebruik van applicaties uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen te ontraden op mobiele werkapparatuur. Ook van belang zijn insider risico’s: misschien loopt bij de toeleverancier wel personeel rond dat niet te vertrouwen is, maar dat wel werkzaamheden in uw organisatie verricht?
Breng potentiële doelwitten in kaart vanuit het perspectief van een aanvaller. Leveranciers kunnen een tussenstapje vormen om uw systemen te bereiken. Staat er vertrouwelijke informatie opgeslagen bij een leverancier? Dan hoeft de aanvaller helemaal niet direct toegang te krijgen tot de systemen van jouw organisatie om toch schade aan te brengen.
Maatregelen nemen
Na het in kaart brengen volgt het nemen van maatregelen. Voer periodiek een risicoanalyse uit, adviseert het NCSC, werk aan medewerkersbewustzijn, en doorloop een worst-case-scenario. Leg in een Service Level Agreement (SLA) afspraken vast met toeleveranciers, bijvoorbeeld over het uitvoeren van (onaangekondigde) security audits of securitytests, of over het melden en verhelpen van beveiligingsincidenten. Het is belangrijk dat ook de afdeling inkoop goed weet welke securitywensen er leven en daar goede afspraken over kan maken.
Uiteraard is het verstandig om dit niet allemaal alleen uit te dokteren, maar kennis uit te wisselen met andere overheden, overheidsorganisaties, branchegenoten of brancheverenigingen. Geef elkaar bijvoorbeeld tips over leverancierslijsten, inkoopeisen en veiligheidsnormen. Bedrijven zijn enerzijds concurrenten van elkaar, maar zitten vaak in hetzelfde schuitje wat bijvoorbeeld externe dienstverleners betreft.
Exit-plan
Zijn er zorgen over een bepaalde leverancier? Hopelijk is er voorafgaand aan het sluiten van een contract ook een exit-plan opgesteld. Let op: als dat in werking treedt, moet de leverancier afstand doen van informatie over jouw organisatie. Denk hierbij onder andere aan intellectuele eigendomsrechten, beheerrechten, logs, broncode, softwarelicenties en de beschikbaarstelling van relevante data, aldus de handreiking van het NCSC.
En hoe neem je geopolitieke risico’s mee in een inkoopstrategie? Eigenlijk door het boerenverstand te gebruiken: het goedkoopste product is niet altijd het beste; test op veiligheid en kwaliteit en lees documentatie voordat je tekent bij het kruisje. Ook voor de hand liggend: voorkom te grote afhankelijkheid van specifieke toeleveranciers, met name als die zich in een instabiele regio bevinden.
Dit artikel is in een eerdere versie gepubliceerd op Binnenlands Bestuur, zustertitel van AG Connect.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee