Meer dan compliance: risicobeheer als sleutel tot supply chain security
De zwakste schakel telt
Recente incidenten, zoals op Europese luchthavens, tonen aan hoe kwetsbaar digitale ketens zijn. Europese wetgeving zoals NIS2 probeert die afhankelijkheden beter te beheersen, maar regelgeving alleen volstaat niet. ‘De belangrijkste onderdelen van basisbeveiliging kunnen met zeer weinig moeite worden gerealiseerd’, zegt expert Thomas Stubbings.
Tekst: William Visterin Beeld: BRUSSELS AIRPORT
Reizigers moesten manueel inchecken, vluchten werden geannuleerd of vertraagd en operationele processen kwamen onder druk te staan. Het waren maar enkele gevolgen van de cyberaanval op onderaannemer Collins Aerospace, die enkele maanden geleden meerdere Europese luchthavens trof.
Het is een schoolvoorbeeld van hoe supply chain-aanvallen werken. Systemen voor check-in en bagageafhandeling vielen uit op onder meer Brussels Airport, London Heathrow en Berlin Brandenburg, en dat via een leverancier die diep geïntegreerd was in hun processen.
Cyberveiligheid valt niet uit te besteden
Juridisch gezien kan bijvoorbeeld de Belgische luchthaven zich niet zomaar achter Collins verschuilen. Onder de Belgische NIS2-wet – die Europese verplichtingen omzet in nationale regels én waarvan België een van de eerste landen was die de omzetting doorvoerde – moeten essentiële bedrijven aantonen dat ze hun volledige toeleveringsketen actief controleren en beveiligen.
De wet verplicht niet alleen tot technische maatregelen, maar bevordert vooral governance, transparantie en controle, dus ook over partners, leveranciers en subcontractors. Dat betekent: risicoanalyses uitvoeren, leveranciers auditen, en erop toezien dat ook externe partners voldoen aan cybersecuritynormen. Of hoe NIS2 een cultuurverandering verankert waarbij cyberveiligheid niet langer kan worden ‘uitbesteed’.
Gebrek aan inzicht
Thomas Stubbings, de Oostenrijker die de werkgroep trusted supply chain implementation leidt bij de onafhankelijke security-organisatie ECSO, erkent dat – mede door dergelijke incidenten – de beveiliging van de toeleveringsketen hoog op de agenda staat. ‘Beveiliging stopt niet aan de perimeter van een organisatie,’ stelt hij. ‘Iedereen is verbonden en afhankelijk van talrijke leveranciers, die it-hardware, software of diensten leveren. Elk van hen vormt een potentiële toegangspoort voor kwaadwillige activiteiten.’
Niet alleen bij ECSO, maar ook via zijn eigen bedrijf koppelt Stubbings het strategische en governance-aspect van cybersecurity aan wetgeving en compliance, met aandacht voor kleinere bedrijven. ‘Het huidige dreigingslandschap richt zich niet alleen op grote organisaties, maar maakt ook systematisch misbruik van kleinere leveranciers, softwarecomponenten en dienstverleners om hele waardeketens te bereiken’, is zijn punt.
‘Wie kan voor elk van zijn leveranciers garanderen dat hun beveiliging op het juiste niveau is?’
De beveiliging van de toeleveringsketen is een kwestie van vertrouwen en transparantie in plaats van louter technologie, maar hoe moeten organisaties hun strategische aanpak aanpassen?
Stubbings: ‘De kern van het probleem is een gebrek aan inzicht. Wie kan voor elk van zijn leveranciers garanderen dat hun beveiliging op het juiste niveau is? Maar dat is precies wat we moeten weten. Transparantie is een voorwaarde voor vertrouwen geworden. En het moet een integraal onderdeel worden van het inkoop- en leveranciersbeheerproces. Wie hier niet aan voldoet, komt niet in aanmerking. Dit is een kwestie van risicobeheer en moet daarom op de agenda van het management staan, ongeacht de sector of de omvang van het bedrijf.’
Veel huidige benaderingen rond supply chain security zijn gebaseerd op vragenlijsten en individuele beoordelingen. Wat zijn de belangrijkste beperkingen hiervan en hoe kan dit beter?
‘Beveiligingsvragenlijsten zijn doorgaans eigendom van een bepaalde partij en niet reproduceerbaar. Dit legt een enorme last op zowel de koper als de leverancier bij het opstellen, verspreiden, invullen en beoordelen van die vragenlijsten. Het is simpelweg niet efficiënt om telkens opnieuw het wiel uit te vinden. Ten tweede is een niet-gevalideerde zelfverklaring vrijwel waardeloos omdat er geen controle of verificatie op zit.’
‘Het enige bruikbare alternatief zijn gestandaardiseerde benaderingen met vertrouwde derde partijen, die gestandaardiseerde vragenlijsten valideren en de resultaten beschikbaar stellen aan alle betrokkenen. Er zijn in Europa opkomende benaderingen (het onderwerp van Stubbings’ keynote op Cybersec Europe, nvdr) – zoals schema’s, basisbeveiligingsmodellen en gedeelde vertrouwenskaders – die erop gericht zijn de markttransparantie te verbeteren en tegelijkertijd de complexiteit voor zowel grote ondernemingen als het mkb te verminderen.’
Mkb’s maken vaak deel uit van grotere toeleveringsketens, maar beschikken over minder middelen – hoe kunnen zij de beveiliging van de toeleveringsketen in de praktijk aanpakken zonder dat dit tot buitensporige complexiteit of kosten leidt?
Stubbings: ‘Het is belangrijk om te beseffen dat ook mkb-bedrijven over adequate basisbeveiliging moeten beschikken. Dit is geen luxe en ook niet voorbehouden aan grote ondernemingen. De belangrijkste onderdelen van basisbeveiliging kunnen met zeer weinig moeite worden gerealiseerd, zoals het regelmatig installeren van patches, het maken van back-ups, het uitvoeren van tests en het trainen van medewerkers. Iedereen kan dit doen. Hiervoor zijn geen grote budgetten nodig, alleen focus op de juiste onderwerpen.’
Hoe kunnen organisaties de risico’s in de toeleveringsketen beter begrijpen, beoordelen en communiceren op een manier die zowel zinvol als schaalbaar is?
‘De sleutel ligt bij adequaat risicobeheer. Compliance moet altijd gekoppeld zijn aan risicobeheer. Het heeft geen zin om organisaties te zwaar te belasten, alleen maar omwille van compliance. Aan de andere kant kan compliance zonder risicobeheer een formaliteit worden die niemand helpt. Als risicobeheer correct wordt toegepast, leidt dit tot een adequaat beveiligingsniveau dat ook aan de compliance-eisen zou moeten voldoen.’
5 risicofactoren in complexe supply chains
Volgens het Global Cybersecurity Outlook 2025 van het World Economic Forum zijn supply chain-interdependenties één van de grootste bronnen van cyberrisico. Vijf factoren springen eruit:
1. Cyber-ongelijkheid
Grote organisaties boeken vooruitgang in cyberweerbaarheid, maar kleinere spelers blijven achter. Daardoor ontstaat een structurele kwetsbaarheid in de keten. Aanvallers maken daar misbruik van door zich te richten op minder goed beveiligde partners.
2. Beperkte zichtbaarheid
Veel organisaties hebben onvoldoende zicht op hun volledige supply chain, zeker wanneer ook subleveranciers en afhankelijkheden verderop in de keten worden meegerekend.
3. Kwetsbaarheden via derde partijen
Externe software, opensourcecomponenten en nieuwe technologieën zoals ai brengen bijkomende risico’s met zich mee. Wanneer beveiliging niet grondig wordt geëvalueerd, kunnen kwetsbaarheden ongemerkt binnensluipen en zich verspreiden over meerdere systemen en organisaties.
4. Afhankelijkheid van kritieke leveranciers
De concentratie rond een beperkt aantal dominante spelers, zoals cloudproviders, creëert potentiële single points of failure. Problemen bij zulke partijen kunnen een brede impact hebben op volledige sectoren. Dat maakt redundantie en business continuity cruciaal, maar vaak complex.
5. Geopolitieke spanningen
Internationale spanningen beïnvloeden steeds vaker supply chains en cyberdreigingen. Ze kunnen leiden tot veranderende leveranciersrelaties, verstoringen in beschikbaarheid en een verhoogd risico op geavanceerde aanvallen.
Op 20 en 21 mei komen Europese cybersecurity-leiders en specialisten samen op Cybersec Europe in Brussel. Kijk voor het programma en details op cyberseceurope.com
