Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Bescherm ook jouw organisatie tegen leveranciersrisico’s

Kennisartikelen
Leestijd:
Toeleveringsketen
Beginnen
Een digitale aanval veroorzaakt wellicht niet alleen schade bij een van jouw partners of leveranciers, maar kan ook grote problemen veroorzaken bij jouw eigen organisatie. Dit artikel biedt je een introductie op weerbaarder worden jegens leveranciersafhankelijkheden.

Doelgroep
Deze handreiking is bedoeld voor security-personeel dat een eerste stap wil zetten in leveranciersmanagement.

Definitie
Rechtstreekse leveranciers zijn de leveranciers waar de organisatie een contractuele relatie mee heeft.

Achtergrond

Elke organisatie maakt gebruik van (deel)producten of diensten van leveranciers. Deze leverancier maakt daarbij ook weer gebruik van andere leveranciers. Als we alle leveranciers zouden uittekenen, ontstaat er een wereldwijd web van verbanden. Dit web wordt ook wel de ‘keten’ of de ‘supply chain’ genoemd. Ketens kunnen lineair zijn (waarin producten van A naar B worden doorgegeven) of bestaan uit complexe netwerken waarbij terugkoppeling tussen partijen plaatsvindt. Een organisatie die deel uitmaakt van een keten kan een rol hebben als leverancier of afnemer (of beide), maar ook als toezichthouder of als brancheorganisatie.

Ook jouw organisatie is, misschien zonder dat je je daarvan bewust bent, in sterke mate afhankelijk van een groot aantal leveranciers. Als deze niet meer (kunnen) leveren, komt ook jouw productie of dienstverlening in gevaar. Naast de afhankelijkheid van fysieke deelproducten, zijn de klanten en leveranciers vaak ook digitaal nauw met elkaar verbonden. Dit maakt de samenwerking makkelijker, maar creëert ook sterke afhankelijkheden.

Waarom moet ik mij zorgen maken over mijn leveranciers?

Vaak bestaan er grote verschillen in digitale weerbaarheid tussen organisaties, sectoren en ketens. Hierdoor is het mogelijk dat de digitale weerbaarheid van jouw organisatie op orde is, maar je toch aanzienlijke risico’s loopt omdat jouw leverancier of (ICT-)dienstverlener kwetsbaar is voor cyberrisico’s. Dit is een risico voor de beschikbaarheid, de vertrouwelijkheid en de integriteit van jouw bedrijfsprocessen, informatie en daarmee jouw hele organisatie.

Er zijn meerdere soorten digitale leveranciersrisico’s. We lichten ze toe aan de hand van een drietal scenario’s:

Scenario 1

Een leverancier levert niet meer als gevolg van een digitale aanval

De kans is groot dat jouw organisatie afhankelijk is van bepaalde leveranciers, bijvoorbeeld een ICT-dienstverlener. Als leveranciers niet kunnen leveren komt de continuïteit van jouw organisatie in gevaar. 

Checkvragen om jouw afhankelijkheid van leveranciers in kaart te brengen:

  • Weet je van welke leverancier(s) je afhankelijk bent? 
  • Heb je zicht op welke risico’s jouw organisatie loopt in relatie tot deze afhankelijkheden? Begin bij de leveranciers en dienstverleners waarvan jij denkt de grootste afhankelijkheid te hebben en die essentieel zijn voor jouw bedrijfsprocessen.
  • Welke alternatieven heb je wanneer er een leverancier uitvalt?
  • Heb je jouw belangrijkste gegevens beschikbaar als de leverancier de gegevens kwijtraakt?

Scenario 2 

Jouw (ICT-)dienstverlener is gehackt, waardoor de aanvaller mogelijk ook toegang heeft tot jouw (digitale) systemen

Veel organisaties besteden hun ICT uit aan gespecialiseerde ICT-dienstverleners of maken gebruik van specifieke diensten voor bijvoorbeeld de financiële administratie of personeelszaken. Hierdoor ontstaat er een grote afhankelijkheid van deze dienstverleners. Via deze afhankelijkheden kunnen kwaadwillende actoren toegang krijgen tot gevoelige informatie of de processen van jouw organisatie verstoren.

Checkvragen om jouw afhankelijkheid van leveranciers in kaart te brengen:

  • Wie is jouw (ICT-)dienstverlener? Is het er één of zijn het er meerderen? Denk hierbij aan alle diensten waarvan jouw organisatie afhankelijk is. Dit gaat niet alleen om ICT, maar ook om diensten die je bijvoorbeeld gebruikt voor HR, financiële administratie of voorraadbeheer.
  • Heb je afspraken gemaakt met je (ICT-) dienstverlener over wie waar verantwoordelijk voor is? Zo ja, weet jij ook wat jouw verantwoordelijkheden zijn?
  • Heeft de (ICT-)dienstverlener een bepaalde certificering als bewijs van haar volwassenheidsniveau op het gebied van digitale weerbaarheid?

Scenario 3 

Er is een kritieke kwetsbaarheid ontdekt in één van de (digitale) producten of diensten die jouw organisatie gebruikt

Organisaties maken gebruik van meerdere digitale producten en diensten zoals e-mail, chat-applicaties, HR-systemen, CRM-systemen, videoconferentie-programma’s en financiële systemen. Deze worden vaak door andere organisaties ontwikkeld en onderhouden, maar bevatten ook geregeld kwetsbaarheden. Indien er in één van deze componenten een kwetsbaarheid wordt ontdekt, kunnen criminelen deze kwetsbaarheid misbruiken. In het ergste geval kan dit leiden tot diefstal of versleuteling van gevoelige data waardoor je er geen toegang meer toe hebt totdat je losgeld betaalt. Dit fenomeen is beter bekend als een ransomware-aanval. 

Checkvragen om risico’s over kritieke kwetsbaarheden in kaart te brengen:

  • Heb je in beeld welke (digitale) producten en diensten er binnen jouw organisatie in gebruik zijn? Denk hierbij aan software op laptops en smartphones, maar ook aan productiemachines en toegangssystemen.
  • Is er altijd iemand beschikbaar die updates kan uitvoeren buiten werktijd of zorgt jouw dienstverlener ervoor dat kritische kwetsbaarheden vrijwel direct worden geïnstalleerd?
  • Zijn de producten allemaal geüpdatet met de laatst beschikbare versie?
  • Heb je ook digitale producten of diensten waarvan de leverancier geen updates meer levert (end-of-life)? Als een product end-of-life is en er geen updates meer zullen worden gedaan, start dan tijdig vervanging naar een alternatief product.

Wat kun je nu al doen?

Weerbaarheid in de keten begint bij jezelf. Als onderdeel van een keten is het belangrijk dat de digitale beveiliging bij jouw organisatie goed op orde is. Daarnaast is het belangrijk in gesprek te gaan met jouw partners, leveranciers, en (ICT-)dienstverleners. Zorg dat cybersecurity een onderwerp is dat in tussentijdse gesprekken en inkoopprocedures wordt meegenomen. 

Concrete stappen hiervoor zijn:

  1. Ga in gesprek met jouw leveranciers en andere organisaties die onderdeel zijn van jouw supply chain. Vraag bijvoorbeeld of zij de 5 basisprincipes van digitale weerbaarheid. hebben geïmplementeerd.
  2. Wanneer er een nieuw product of dienst wordt ingekocht, zorg er dan voor dat digitale weerbaarheid en continuïteit van levering mee worden genomen in het inkoopproces.
  3. Maak regelmatig back-ups van jouw belangrijkste systemen (of spreek af met je dienstverlener dat die dat doet). Zorg er ook voor dat je regelmatig oefent met het terugzetten van de back-ups. 
  4. Ook jij hebt een verantwoordelijkheid ten opzichte van jouw afnemers en klanten. Zorg er dus voor dat ook jouw digitale weerbaarheid op orde is. Begin met het implementeren van de 5 basisprincipes van digitale weerbaarheid.  

In samenwerking met:
met Bluebird & Hawk BV, Agentschap van de Generale Thesaurie, Kelvin Rorive, co-founder CCRC (Cyber Chain Resilience Consortium).

Formulier
Heeft deze pagina je geholpen?