Veel bedrijven maken gebruik van producten of diensten van (toe)leveranciers of leveren zelf aan andere bedrijven. Zo ontstaan allerlei ketens - supply chains - van bedrijven die economisch aan elkaar verbonden zijn en een bepaalde mate van afhankelijkheid hebben. Als er ergens in de keten een leveringsstop is, dan kan dit grote gevolgen hebben voor de gehele supply chain. Naast de afhankelijkheid van fysieke deelproducten, zijn bedrijven in de keten vaak ook digitaal nauw met elkaar verbonden. Dit maakt de samenwerking makkelijker, maar creëert ook extra risico’s voor de cyberveiligheid.
Leveringsstop kan tot chaos in de keten leiden
Er zijn genoeg voorbeelden van situaties waarbij een aanval op een bedrijf in de keten grote gevolgen heeft voor een grotere groep bedrijven in de leveranciersketen. Zo werd in 2017 een containerterminal in de Rotterdamse haven getroffen door een cyberaanval wat resulteerde in een logistiek drama in de Rotterdamse haven. Ook de ‘kaashack’ bij een leverancier die tot lege schappen bij Albert Heijn leidde, is hier een voorbeeld van.
Hack bij IT-dienstverlener kan leiden tot hacks bij bedrijven
Wanneer een IT-dienstverlener gehackt wordt, is de dreiging van een andere aard. Want de connectie met andere bedrijven is dan mogelijk digitaal en het gevaar kan ‘overspringen’ naar het bedrijfsnetwerk van de bedrijven waar de IT-dienstverlener aan levert. Voorbeelden hiervan zijn de hacks die enkele gemeenten in Limburg en Duitsland troffen.
Bescherm je bedrijf en keten tegen supply chain-aanvallen
Weerbaarheid in de keten is een belangrijk aandachtspunt door de groeiende digitale verbondenheid van het bedrijfsleven. De Europese NIS2-richtlijn vereist dan ook van grote bedrijven in belangrijke sectoren zoals energie, gezondheidszorg en drinkwater, dat er zorgplichtmaatregelen worden genomen om de toeleveringsketen veiliger te maken. Uit de recent gelanceerde NIS2-Quickscan blijkt dat 46% van scan invullers in maart, nog geen keteninventarisatie heeft uitgevoerd. De AIVD, CIO Rijk, NCSC en NCTV hebben een handreiking gemaakt voor het inventariseren en beheersen van supply chain risico’s voor producten en diensten uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen:
Praktische keteninventarisatie voor mkb-bedrijven
Voor bedrijven met een overzichtelijke keten van toeleveranciers heeft het DTC een keteninventarisatie ontwikkeld. Wie de nodige maatregelen heeft getroffen die passen bij de risico-analyse, kan aan de slag met het verkleinen van risico’s die voortvloeien uit de keten. Waar liggen de afhankelijkheden die je bedrijfscontinuïteit kunnen verstoren? Heb je zicht op de cyberbeveiliging van bedrijven van wie je afhankelijk bent? Heb je afspraken gemaakt? In deze handige invulbare keteninventarisatie kun je de belangrijkste afhankelijkheden in de keten loggen. Noteer ook welke afspraken er zijn over het verkleinen van de risico’s en welke alternatieven jij tot je beschikking hebt wanneer er iets in de keten gebeurt. Gebruik de keteninventarisatie (als inspiratie) om jouw ketenafhankelijkheid scherp te krijgen om de ketenweerbaarheid en het herstelvermogen van je bedrijf te vergroten:
Relevante links
Bereid je voor op NIS2
De NIS2-Quickscan is een zelfscan voor organisaties die straks onder aan de NIS2-regels vallen en willen weten hoe zij zich kunnen voorbereiden. Deze scan is met name bedoeld voor IT- en cybersecurity-specialisten en -verantwoordelijken binnen organisaties. De scan biedt ook handelingsperspectief: per thema worden technische of organisatorische maatregelen voorgesteld die helpen bij het voorbereiden op de NIS2. Vragen over de NIS2? Op het online securityplatform DTC Community delen ruim 4.000 professionals en ondernemers kennis hierover uit. Meld je ook aan.