Waarom cyber-ketenweerbaarheid meer aandacht verdient

Producent, leverancier of afnemer: bijna elk bedrijf maakt deel uit van een keten. Deze ketens worden steeds meer afhankelijk van ICT. Dat brengt een toename in cyber-gerelateerde risico’s met zich mee. Hoe kunnen ketens zich weerbaar maken tegen deze dreiging?

Producent, leverancier of afnemer: bijna elk bedrijf maakt deel uit van een keten. Deze ketens worden steeds meer afhankelijk van ICT. Dat brengt een toename in cyber-gerelateerde risico’s met zich mee. Hoe kunnen ketens zich weerbaar maken tegen deze dreiging? Om de overheid te adviseren in de ontwikkeling en uitvoering van beleid, vroegen het Ministerie van Justitie en Veiligheid en MKB Nederland aan De Haagse Hogeschool onderzoek te doen naar het fenomeen cyber-ketenweerbaarheid.

Welke cyber-specifieke dreigingen ontstaan bij ketens en welke kwetsbaarheden spelen daarbij een rol? Wat zijn geleerde lessen bij het voorkomen en bestrijden van cyberincidenten gerelateerd aan het opereren in een keten? Om deze vragen te beantwoorden, hebben de onderzoekers een aantal bedrijven bekeken uit ketens in de sierteelt-, handels- en agrarische sector. 

Ransomware en stepping stone-aanvallen

Binnen ketens blijken organisaties last te hebben van specifieke dreigingen en kwetsbaarheden. Met name ransomware (waarbij gegevens of systemen worden ‘gegijzeld’) en stepping stone-aanvallen (wanneer cybercriminelen proberen via kleinere organisaties toegang tot grotere organisaties te krijgen) vormen een risico. Een belangrijke kwetsbaarheid blijkt technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen.

Onvoldoende op de agenda

Een ander struikelblok blijkt een gebrek aan samenwerking tussen ketenpartners. Cyberveiligheid ontbreekt veelal in de contracten tussen leverancier en klant. Informatie-uitwisseling over cyberrisico’s en geleerde lessen binnen ketens is beperkt. Ook (structureel) overleg over cybersecurity tussen partners blijft vaak uit. 

De ene keten is de andere niet

De verschillen tussen bedrijven in dreiging, kwetsbaarheid en geleerde lessen zijn te verklaren door het type bedrijf en de omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven bewust van de dreigingen en kwetsbaarheden.

Hulp is nodig

Ketens kunnen hulp gebruiken met het op orde brengen van de cyberveiligheid van de individuele partners, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau. 

Dit onderzoek is uitgevoerd door het lectoraat Cyber Security in het MKB aan De Haagse Hogeschool, door MSc. L. (Luuk) Bekkers, dr. R. (Rick) Van der Kleij en dr. R. (Rutger) Leukfeldt. In opdracht van het Platform Veilig Ondernemen (PVO) via een subsidie van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) is het onderzoeksrapport uitgebracht in januari 2021.

Bron: Haagse Hogeschool, 10 februari 2021.