Innovatie in de leveranciersketen is hard nodig

DoorFleur van Leusden
Innovatie in de leveranciersketen is hard nodig cover

“Supply chain” is een hot topic in security tegenwoordig. De leveranciersketen wordt veelvuldig genoemd in de NIS2 en de BIO2. En dat is niet zomaar. De “supply chain aanvallen” lijken steeds vaker voor te komen.

Aanvallen waarbij het eigenlijke doelwit via een omweg bij een leverancier wordt aangevallen zijn overigens helemaal niet zo nieuw. Het is een oude en beproefde methode van criminelen om doelwitten die zichzelf goed beveiligd hebben, toch te kunnen raken. Denk aan het befaamde Stuxnet, NotPetya en recent nog SolarWinds. Ik spreek niet snel van een “geavanceerde aanval”, maar met name Stuxnet en SolarWinds zou ik zeker zo willen labelen.

Bij Stuxnet ging het om een worm die zich verspreidde en daarbij zichzelf bijvoorbeeld verwijderde na een aantal lagen diep te zijn of bepaalde informatie tegen te komen (of niet tegen te komen). SolarWinds werd gehackt door een vergeten VM in een testomgeving die door een bug niet was verwijderd en verspreidde zich vervolgens op het netwerk van doelwitten als Google en Microsoft. Bij NotPetya ging het om een whiper (software die informatie verwijdert) welke zich verspreidde via accounting software.

Certificaten als houvast, maar niet als oplossing

We maken ons dus niet voor niets druk over onze leveranciersketen. Heb je de eigen beveiliging op orde, dan ben je er nog niet. Daar bedenken we daarom allerlei methoden voor, om onszelf zekerheid te bieden. Zo heb ik medelijden met leveranciers die gek worden van de vragenlijstjes van klanten rondom informatiebeveiliging. “Hoe hebben jullie EAR geregeld?” “Hoe staat het met jullie ISMS?”. Elke klant heeft weer een eigen lijstje met eigen voorwaarden in het contract.

Een certificaat dan maar? ISO certificeringen bieden enige houvast, maar zijn helaas ook niet zaligmakend. Hoeveel leveranciers je wel niet ziet die een ISO certificering behalen op een proces zoals hun HRM, in plaats van hun primaire dienstverlening. ISO certificaat? Check! Beveiliging op primaire dienstverlening? Mwah.

Het falen van due diligence

Ik merk dat klanten daarnaast ook niet altijd hun huiswerk doen. Ze vragen om het ISO certificaat, maar checken het niet. Of checken de bijbehorende statement of applicability niet (dan kom je dus erachter of het op een HRM proces is afgegeven). Of ze vragen een SOC2 rapport op, maar lezen de bijlage niet (die is veelal het meest interessant, want die komt van een externe auditor).

Dergelijke certificaten zijn voor de grote techbedrijven overigens vaak eenvoudig in te zien. Partijen als Google en Microsoft hebben deze online gezet. Vaak inclusief audit rapporten. Handig.

Tegelijkertijd wens ik je bij deze partijen veel succes met jouw security vragenlijstje. Denk maar niet dat Google jouw “Hoe staat het met jouw ISMS?” excelletje gaat invullen.

De complexe aard van de leveranciersketen

Dan hebben we het nog over de leveranciersketen. Het is een keten. Dus het gaat niet alleen om jouw directe leveranciers, maar ook om de leveranciers van jouw leveranciers. Hoe ver wil je daarmee gaan? Hoe ver moet of überhaupt kun je daarmee gaan? Het is behoorlijk complex om een beeld te krijgen van alle leveranciers die je als grote organisatie hebt, laat staan wat van die leveranciers de onderleveranciers zijn.

De uitdaging: innovatie in plaats van méér certificeringen

Ik heb er zelf niet zo snel een oplossing voor. Certificeringen zijn veelal vinklijstjes en bieden een basis, maar zeggen weinig over daadwerkelijke security. Vragenlijstjes zijn belastend en niet werkbaar voor grote partijen (en laten we eerlijk zijn; eigenlijk voor de kleine ook niet). Innovatie in security rondom dit probleem is wat mij betreft daarom zeer welkom. Hoe kunnen we de beveiliging in de keten verbeteren, zonder nog weer nieuwe certificeringen en vragenlijstjes te gaan verzinnen? Grote bedrijven als ASML hebben soms een programma waarin ze leveranciers helpen met hun informatiebeveiliging, maar hoe schaalbaar is dat als iedereen dat wil gaan doen?

Het antwoord moet ik jullie schuldig blijven. Maar dat wij op dit punt innovatie kunnen gebruiken, dat is wat mij betreft een zekerheid.

Over Fleur

Fleur is een ervaren professional met meer dan 10 jaar ervaring in informatiebeveiliging. Ze is CISO bij de overheid en produceert een podcast voor CISOs, genaamd ‘CISO praat’. Haar passie ligt bij het vinden van oplossingen en het adviseren over strategische vraagstukken binnen informatiebeveiliging.

Met een focus op de technische en strategische aspecten, duikt Fleur graag de diepte in en onderzoekt oplossingen, zoals het veilig gebruik van openbare wifi-netwerken en effectieve bescherming tegen phishing. Ze is vooral geïnteresseerd in de balans tussen gebruiksgemak en beveiliging én de uitdagingen van specialistische kennis in een digitaliserende wereld.

In haar columns behandelt Fleur fundamentele uitdagingen voor informatiebeveiligers, zoals de effectiviteit van beveiligingsmaatregelen en het groeiende aanbod van beveiligingsdiensten. Ze hoopt haar lezers te inspireren tot nieuwe inzichten en innovatieve ideeën.

Vergelijkbare berichten