De risico's van digitale verbondenheid
Breng kroonjuwelen en spaghetti in kaart
Organisaties investeren miljoenen in cybersecurity, maar worden alsnog getroffen via leveranciers. De veronderstelling dat contractafspraken en vertrouwen voldoende bescherming bieden, blijkt gevaarlijk.
Tekst: Kim Loohuis Beeld: SHUTTERSTOCK
Incidenten als de MUSE-aanval op luchthavensoftware en de SolarWinds-hack illustreren het probleem. Technisch goed beveiligde organisaties worden getroffen doordat een cruciale leverancier uitvalt of gehackt wordt. ‘Vaar niet blind op vertrouwen’, stelt Marcel Spruit, emeritus lector Cybersecurity aan De Haagse Hogeschool. ‘Houd er rekening mee dat een leverancier zijn best doet, maar dat er soms iets fout gaat. En als dat bij jouw leverancier is en de systemen gekoppeld zijn, dan kan je er last van krijgen.’
Het probleem escaleert door de groei van digitale verbondenheid. Waar it-systemen vroeger nauwelijks met elkaar communiceerden, zorgt de cloud-revolutie voor explosieve toename van afhankelijkheden. Spruit illustreert dit met een paradox: ‘Een van de beste beschermingen van de Nederlandse overheid is dat het één lappendeken heeft van systemen die niet met elkaar willen praten. Die fragmentatie was nooit de bedoeling, maar biedt onbedoeld bescherming.’ Nu wordt hard gewerkt om alle systemen juist wél aan elkaar te koppelen. ‘Als de onderlinge connectiviteit groeit, dan wordt ook het supply chain-risico steeds groter’, legt Spruit uit. Organisaties die alles naar de cloud verplaatsen, hangen hun complete infrastructuur aan externe systemen – en daarmee aan de beveiliging van die leveranciers. Supply chain-dreigingen groeien inmiddels. Waar vroeger een beveiligingsfout alleen problemen gaf voor de getroffen organisatie, krijgen nu ook de klanten en leveranciers van die organisatie daar klappen van.
‘Een van de beste beschermingen van de Nederlandse overheid is dat het één lappendeken heeft van systemen die niet met elkaar willen praten’
Marcel Spruit, emeritus lector Cybersecurity aan De Haagse Hogeschool
De misvatting van lokaal denken
De grootste misvatting is dat organisaties denken dat ze veilig zijn zolang hun eigen it op orde is. Die logica werkt niet meer. Als jouw leverancier getroffen wordt, heb jij daar ook last van. En jouw klanten vervolgens ook. Daar komt bij dat organisaties te veel op vertrouwen leunen. Ze maken afspraken met hun leveranciers over certificering, beveiligingseisen en audits en vertrouwen er dan op dat het goed komt. Maar zelfs de beste afspraken bieden geen garantie wanneer een leverancier, ondanks veel inspanningen, toch getroffen wordt. ‘Ook al is het vertrouwen terecht, er kan altijd iets misgaan en dan moet je wel voorbereid zijn’, benadrukt Spruit.
Die voorbereiding begint met inzicht. Organisaties moeten hun ketens in kaart brengen. Niet alleen hun directe leveranciers maar ook hun onderleveranciers. ‘Dat klinkt makkelijk, maar het is vaak spaghetti’, zegt Spruit. Voor grotere organisaties kan dit een heel project worden. Het systeem is organisch gegroeid, er zitten dubbele verbindingen tussen, systemen die niet meer gebruikt worden maar nooit afgesloten zijn. Opruimen kost geld en tijd. Kleinere organisaties kiezen soms bewust voor één grote leverancier. Dat maakt het overzichtelijker, maar creëert afhankelijkheid. ‘Ik vind dat organisaties wel erg makkelijk achteroverleunen en kiezen voor gemak: alles bij bijvoorbeeld Microsoft’, zegt Spruit kritisch.
Mens en organisatie als zwakke schakel
De bekende scheefgroei in cybersecurity-investeringen – 85 procent gaat naar technologie, 14 procent naar processen, en slechts 1 procent naar de mens – geldt ook voor supply chain security. Maar juist daar zou de verdeling anders moeten zijn, benadrukt Spruit. Want de technologie voor supply chain security bestaat al, die kun je gewoon kopen. Het zijn de mensen en de organisatie die het verschil maken:
- Wie brengt de ketens in kaart?
- Wie maakt afspraken met leveranciers?
- Wie bepaalt waar de lat ligt voor acceptabele risico’s?
- Wie beoordeelt de kwaliteit van de security?
Bij grote organisaties ligt die verantwoordelijkheid deels bij het bestuur, maar ook bij de ciso en security-teams. Bij mkb-bedrijven ontbreekt hiervoor vaak de capaciteit en de expertise. ‘Heb je een kleine organisatie met een man of tien, dan heb je geen cybersecurityspecialist in dienst’, zegt Spruit.
Die organisaties besteden hun it en de bijbehorende beveiliging vaak uit naar it-partners. Als bedrijven dat uitbesteden zonder zelf enige kennis van zaken te hebben, worden er niet zelden onvolledige of verkeerde afspraken gemaakt. Spruit noemt als voorbeeld tuinders met klimaatcomputers die ervan overtuigd waren dat hun leverancier alle beveiliging regelde, terwijl die alleen het eigen systeem beveiligde. ‘Daar zit dus verwarring en onduidelijkheid’, concludeert Spruit. ‘Ze denken dat ze het goed uitbesteed en geregeld hebben, maar dat hebben ze dus niet en ze ontberen de kennis om daar tijdig achter te komen.’
Die menselijke factor speelt ook bij grotere organisaties. Daar bestaat vaak een kloof tussen werkvloer en bestuur. Beveiligers vangen kleine incidenten af voordat ze het management bereiken. Grote en moeilijk te voorkomen incidenten gebeuren zelden. Het gevolg: bestuurders denken dat er niets aan de hand is, totdat het eerste grote incident plaatsvindt. Spruit maakte het mee dat een bestuurder niet wist van een middelgroot incident van een maand eerder met miljoenen euro’s schade. ‘Het zijn allemaal menselijke dingen’, vat Spruit samen. ‘Het gaat over vertrouwen, afspraken maken, beslissingen nemen. De technologie komt er wel. Dat is een kwestie van implementeren.’
De balans tussen preventie en reactie
Al die menselijke factoren maken supply chain security complex. Maar hoe pak je het dan wél aan? Voor lage-frequentie, hoge-impact dreigingen kiezen organisaties veelal voor reactieve maatregelen. Die zijn relatief ‘goedkoper’ dan preventieve bescherming. Back-ups, uitwijkmogelijkheden en incident-response vallen in deze categorie. Maar bij snelgroeiende dreigingen zoals supply chain-aanvallen moet je die keuze verleggen, stelt Spruit. ‘Er kan zoveel rotzooi naar binnen komen dat je preventief al veel moet tegenhouden. Anders heb je om de haverklap problemen.’ Dat betekent filteren bij de poort, stevige afspraken met leveranciers over beveiliging en certificering en het beveiligen van je eigen systemen waar data van buitenaf binnenkomt.
Tegelijkertijd blijven reactieve maatregelen essentieel. Want hoe goed je ook beveiligt, er slipt vroeg of laat iets door dat groot en vervelend is. Spruit trekt een vergelijking met de luchtvaart: ernstige incidenten zijn zeldzaam omdat ze een combinatie van meerdere oorzaken vereisen, maar dat betekent niet dat er nooit meer wat gebeurt. ‘Daarom moet je voorbereid zijn. Je moet van tevoren nagedacht hebben over wat je doet als een cruciale dienst van buiten uitvalt’, legt Spruit uit. ‘Ondanks goede afspraken en vertrouwen, moet je toch nog rekening houden met dat er iets mis kan gaan en zorgen dat je ook in dat geval snel kunt handelen.’
Wat zijn je kroonjuwelen?
De kernboodschap van Spruit op het gebied van supply chain security is simpel maar confronterend: ‘Weet wat je hebt. Wat zijn je kroonjuwelen, wie zijn je leveranciers en welke connecties hebben je systemen?’ Zonder dat inzicht kun je de risico’s niet bepalen. En zonder risicoanalyse weet je niet welke maatregelen prioriteit hebben. In een wereld waarin supply chain-aanvallen steeds vaker voorkomen, is dat geen strategie, maar Russische roulette.
Op 20 en 21 mei komen Europese cybersecurity-leiders en specialisten samen op Cybersec Europe in Brussel. Kijk voor het programma en details op cyberseceurope.com
In 5 stappen naar beter supply chain-risicomanagement
1. Breng ketens in kaart
Weet wie je leveranciers zijn, maar ook je onderleveranciers. Zonder dit inzicht weet je niet waar dreigingen vandaan kunnen komen.
2. Ruim de boel op
Elimineer dubbele verbindingen, sluit ongebruikte ‘deuren’, vereenvoudig de ‘spaghetti’. Minder complexiteit betekent minder aanvalsoppervlak.
3. Inventariseer dreigingen
Bepaal per schakel in de keten welke bedreigingen waar kunnen ontstaan. Denk hierbij ook aan technische kwetsbaarheden.
4. Analyseer risico’s
Hoe vervelend is het voor jouw organisatie als het misgaat? Denk hierbij ook aan operationele problemen zoals uitval. Een risicodragende start-up kan andere keuzes maken dan een bank. Daar hangt vanaf hoeveel je investeert in maatregelen en welke maatregelen je nodig hebt.
5. Neem maatregelen – preventief én reactief
Preventief: filter bij de poort, stel eisen aan leveranciers, controleer certificering en beveilig je eigen systemen. Reactief: zorg voor back-ups, uitwijkmogelijkheden en incident-response.
‘Een van de beste beschermingen van de Nederlandse overheid is dat het één lappendeken heeft van systemen die niet met elkaar willen praten’
Marcel Spruit, emeritus lector Cybersecurity aan De Haagse Hogeschool
In 5 stappen naar beter supply chain-risicomanagement
1. Breng ketens in kaart
Weet wie je leveranciers zijn, maar ook je onderleveranciers. Zonder dit inzicht weet je niet waar dreigingen vandaan kunnen komen.
2. Ruim de boel op
Elimineer dubbele verbindingen, sluit ongebruikte ‘deuren’, vereenvoudig de ‘spaghetti’. Minder complexiteit betekent minder aanvalsoppervlak.
3. Inventariseer dreigingen
Bepaal per schakel in de keten welke bedreigingen waar kunnen ontstaan. Denk hierbij ook aan technische kwetsbaarheden.
4. Analyseer risico’s
Hoe vervelend is het voor jouw organisatie als het misgaat? Denk hierbij ook aan operationele problemen zoals uitval. Een risicodragende start-up kan andere keuzes maken dan een bank. Daar hangt vanaf hoeveel je investeert in maatregelen en welke maatregelen je nodig hebt.
5. Neem maatregelen – preventief én reactief
Preventief: filter bij de poort, stel eisen aan leveranciers, controleer certificering en beveilig je eigen systemen. Reactief: zorg voor back-ups, uitwijkmogelijkheden en incident-response.
