DTC: 'Ga supply chain-aanvallen tegen met keteninventarisatie'
Problemen bij een toeleverancier kunnen in de gehele supply chain waar deze partij onderdeel van uitmaakt problemen veroorzaken. Vaak zijn partijen niet alleen afhankelijk van fysieke deelproducten, maar ook digitaal nauw met elkaar verbonden. Dit vereenvoudigt samenwerking, maar brengt ook risico's op het gebied van digitale veiligheid met zich mee.
Hiervoor waarschuwt het Digital Trust Center (DTC). Er zijn genoeg voorbeelden van situaties waarbij een aanval op een bedrijf in de keten grote gevolgen heeft voor een grotere groep bedrijven in de leveranciersketen. Zo werd in 2017 een containerterminal in de Rotterdamse haven getroffen door een cyberaanval wat resulteerde in een logistiek drama in de Rotterdamse haven. Ook de ‘kaashack’ bij een leverancier die tot lege schappen bij Albert Heijn leidde, is hier een voorbeeld van.
Springplank naar andere partijen
Wanneer een IT-dienstverlener gehackt wordt, is de dreiging van een andere aard. Want de connectie met andere bedrijven is dan mogelijk digitaal en het gevaar kan ‘overspringen’ naar het bedrijfsnetwerk van de bedrijven waar de IT-dienstverlener aan levert. Voorbeelden hiervan zijn de hacks die enkele gemeenten in Limburg en Duitsland troffen.
Weerbaarheid in de keten is een belangrijk aandachtspunt door de groeiende digitale verbondenheid van het bedrijfsleven. De Europese NIS2-richtlijn vereist dan ook van grote bedrijven in belangrijke sectoren zoals energie, gezondheidszorg en drinkwater, dat er zorgplichtmaatregelen worden genomen om de toeleveringsketen veiliger te maken. Uit de recent gelanceerde NIS2-Quickscan blijkt dat 46% van scan invullers in maart, nog geen keteninventarisatie heeft uitgevoerd. De AIVD, CIO Rijk, NCSC en NCTV hebben een handreiking gemaakt voor het inventariseren en beheersen van supply chain risico’s voor producten en diensten uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen:
Keteninventarisatie
Voor bedrijven met een overzichtelijke keten van toeleveranciers heeft het DTC een keteninventarisatie ontwikkeld. Wie de nodige maatregelen heeft getroffen die passen bij de risico-analyse, kan aan de slag met het verkleinen van risico’s die voortvloeien uit de keten. Waar liggen de afhankelijkheden die je bedrijfscontinuïteit kunnen verstoren? Heb je zicht op de cyberbeveiliging van bedrijven van wie je afhankelijk bent? Heb je afspraken gemaakt?
In deze invulbare keteninventarisatie kun je de belangrijkste afhankelijkheden in de keten loggen. Noteer ook welke afspraken er zijn over het verkleinen van de risico’s en welke alternatieven jij tot je beschikking hebt wanneer er iets in de keten gebeurt. Gebruik de keteninventarisatie (als inspiratie) om jouw ketenafhankelijkheid scherp te krijgen om de ketenweerbaarheid en het herstelvermogen van je bedrijf te vergroten. De keteninventarisatie is hier beschikbaar.