Hoe cybervolwassen is de toeleverancier?

U kunt de eigen systemen nog zo goed beveiligen, als uw toeleverancier dat niet doet, bestaat er nog steeds een kans dat inwoners van uw gemeente of provincie bijvoorbeeld slachtoffer worden van een datalek. Hoe beschermt u hen tegen de gevolgen van een cyberaanval elders in de keten? Het NCSC brengt een handreiking met good practices uit.

Datalek bij derde partij

210 inwoners van Etten-Leur ontvingen onlangs een brief dat ze mogelijk slachtoffer zijn van een datalek. Hackers hadden mogelijk hun namen, woonadressen en e-mailadressen in handen. Niet omdat de gemeente slordig was, maar omdat deze mensen een digitale enquête hadden ingevuld, waarbij software werd gebruikt van softwarebedrijf Nebu, dat in maart te maken kreeg met een groot datalek. Inwoners van de gemeente Woerden werden mogelijk slachtoffer van hetzelfde lek. Mogelijk, omdat ook na afronding van het onderzoek door Nebu zelf niet duidelijk is welke data zijn buitgemaakt en door wie.

Weinig zicht op risico's

Etten-Leur en Woerden stelden de inwoners zelf maar op de hoogte, maar toen was het leed (nogmaals: mogelijk) al geschied. Wat kunnen overheidsorganisaties doen om te voorkomen dat inwoners de dupe zijn van aanvallen op derde partijen? Dat is lastig. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten concludeerde de Informatiebeveiligingsdienst eerder al dat er weinig zicht is op feitelijke risico’s wanneer ict-zaken zijn uitbesteed.

Omgaan met risico's in toeleveringsketen

Toch is het ook weer niet helemaal een kwestie van stilletjes afwachten en er het beste van hopen. Het Nationaal Cyber Security Centrum (NCSC) verzamelde good practices van Nederlandse publieke en private organisaties over omgaan met risico’s in de toeleveringsketen. De scope varieert van afhankelijkheden (zoals de keer dat er kwetsbaarheden in Log4j werden ontdekt en deze softwarebouwsteen ‘het digitale equivalent van zout’ bleek te zijn), tot geopolitieke ontwikkelingen die invloed hebben op de veiligheid van de keten.  

Assets en kroonjuwelen

In een handreiking geeft het NCSC enkele praktische handvaten, primair bedoeld voor CIO's, CISO's en risicomanagers. Het begint allemaal met het verkrijgen van een actueel overzicht van de assets, informatie of digitale systemen die van waarde zijn voor een organisatie. Daarbij is essentieel om goed te weten wat de kroonjuwelen zijn, de informatie of informatiesystemen die het allerbelangrijkst zijn. De ict-afdeling onderhoudt normaal gesproken een asset-overzicht. Een Software Bills of Material (SBOM) beschrijft de componenten waaruit een stuk software is opgebouwd en de relaties tussen deze componenten. Door SBOMs te gebruiken weet u welke software wordt gebruikt en waar die verschillen componenten vandaan komen. Vergeet ook de shadow IT niet; de handige tooltjes die medewerkers gebruiken, maar die niet worden ondersteund door de ict-afdeling.

Overzicht van toeleveranciers

Ook van de toeleveranciers van alle afdelingen binnen de organisatie wilt u een dergelijk actueel overzicht hebben. Het crediteurenoverzicht van de inkoopafdeling kan een belangrijke bron van informatie zijn. Leg die eens naast het overzicht van de ict-afdeling, adviseert het NCSC.

Leveranciers classificeren

Vervolgens is het zaak om de leveranciers te classificeren en prioriteren. Wie is er verbonden met de kroonjuwelen? Welke leverancier is per se nodig voor het functioneren van de kritieke processen? Wie hebben er toegang tot vertrouwelijke systemen en data? Denk daarbij vooral ook aan leveranciers die persoonsgegevens van medewerkers, klanten of relaties gebruiken voor marketing en communicatie (of voor het uitvoeren van enquêtes – red.). Uit de handreiking: ‘Over welke leveranciers maakt u zich zorgen vanwege een slechte reputatie? Deze leveranciers verdienen mogelijk extra aandacht omdat er binnen uw organisatie, of bij uw partners, slechte ervaringen mee bestaan. Ook als een leverancier betrokken is bij een informatiebeveiligingsincident zoals een datalek kan dat een aanleiding zijn om deze leverancier te bekijken.'

Hoe cybervolwassen is mijn toeleverancier?

Hoe komt u er nou achter wat de mate van cybervolwassenheid van een toeleverancier is, en met welke kritieke afhankelijkheden deze leverancier op zijn beurt te maken heeft? Een goed gesprek vormt de basis om erachter te komen, aldus het NCSC. Wissel ervaringen uit met sectorgenoten, maak gebruik van cybersecurity ratings en raamwerken zoals het self assesment van CYRA.  

Sabotage en spionage

Waar het gaat om geopolitieke ontwikkelingen, adviseert het NCSC om ook sabotage en spionagerisico’s mee te nemen in de periodieke risicoanalyse. Zo besloot de rijksoverheid om het gebruik van applicaties uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen te ontraden op mobiele werkapparatuur. Ook van belang zijn insider risico’s: misschien loopt bij de toeleverancier wel personeel rond dat niet te vertrouwen is, maar dat wel werkzaamheden in uw organisatie verricht?

Breng potentiële doelwitten in kaart vanuit het perspectief van een aanvaller. Leveranciers kunnen een tussenstapje vormen om uw systemen te bereiken. Staat er vertrouwelijke informatie opgeslagen bij een leverancier? Dan hoeft de aanvaller helemaal niet direct toegang te krijgen tot uw systemen om toch schade aan te brengen.

Maatregelen nemen

Na het in kaart brengen volgt het nemen van maatregelen. Voer periodiek een risicoanalyse uit, adviseert het NCSC, werk aan medewerkersbewustzijn, en doorloop een worst-case-scenario. Leg in een Service-levelagreement (SLA) afspraken vast met toeleveranciers, bijvoorbeeld over het uitvoeren van (onaangekondigde) security audits of security tests, of over het melden en verhelpen van beveiligingsincidenten. Het is belangrijk dat ook de afdeling inkoop goed weet welke securitywensen er leven en daar goede afspraken over kunnen maken.

Tips delen

Uiteraard is het verstandig om dit niet allemaal alleen uit te dokteren, maar kennis uit te wisselen met andere overheden of overheidsorganisaties. Geef elkaar bijvoorbeeld tips over leverancierslijsten, inkoopeisen en veiligheidsnormen.

Exit-plan

Zijn er zorgen over een bepaalde leverancier? Hopelijk is er voorafgaand aan het sluiten van een contract ook een exit-plan opgesteld. Let op: als dat in werking treedt, moet de leverancier afstand doen van informatie over uw organisatie. Denk hierbij o.a. aan intellectuele eigendomsrechten, beheerrechten, logs, broncode, softwarelicenties en de beschikbaarstelling van relevante data, aldus de handreiking.

Voorkom te grote leveranciersafhankelijkheid

En hoe neem je geopolitieke risico’s mee in een inkoopstrategie? Eigenlijk door het boerenverstand te gebruiken: het goedkoopste product is niet altijd het beste; test op veiligheid en kwaliteit en lees documentatie voordat u tekent bij het kruisje. Ook voor de hand liggend: voorkom te grote afhankelijkheid van specifieke toeleveranciers, met name als die zich in een instabiele regio bevinden.