Producent, leverancier of afnemer: bijna elk bedrijf maakt deel uit van een keten. Deze ketens worden steeds meer afhankelijk van ICT en systemen zijn vaker met elkaar verbonden. Hierdoor lopen bedrijven in een keten meer risico elkaar te besmetten bij een cybercrime-aanval. Hoe kunnen ketens zich weerbaar maken tegen deze dreiging? De Haagse Hogeschool deed hier onderzoek naar.
Binnen ketens blijken organisaties last te hebben van specifieke dreigingen en kwetsbaarheden. Daarbij gaat het met name om ransomware, waarbij gegevens of systemen worden ‘gegijzeld’. Ook stepping stone-aanvallen vormen een risico. Hierbij proberen cybercriminelen via kleinere organisaties toegang tot grotere organisaties te krijgen. Vooral technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen, blijkt kwetsbaar.
Cybersecurity niet op agenda
Een ander struikelblok blijkt een gebrek aan samenwerking tussen ketenpartners. Cyberveiligheid ontbreekt veelal in de contracten tussen leverancier en klant. Informatie-uitwisseling over cyberrisico’s en geleerde lessen binnen ketens is beperkt. Ook (structureel) overleg over cybersecurity tussen partners blijft vaak uit.
Niet bij elke keten spelen dezelfde risico’s. Sommige ketens hebben hun zaakjes goed op orde. Dit hangt af van verschillende factoren zoals het type bedrijf en de omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo zijn met name ICT-dienstverleners en grote bedrijven zich bewust van de dreigingen en kwetsbaarheden.
Op orde brengen cyberveiligheid
Ketens kunnen hulp gebruiken met het op orde brengen van de cyberveiligheid. Hierbij kan worden gedacht aan:
- beschikbaar stellen van voorbeeldcontracten met leveranciers;
- plannen van (structureel) overleg tussen partners;
- ondersteuning bij het delen van informatie.
Het ministerie van Justitie en Veiligheid en MKB Nederland vroegen de Haagse Hogeschool dit onderzoek uit te voeren om de overheid te adviseren in de ontwikkeling en uitvoering van beleid. In opdracht van het Platform Veilig Ondernemen (PVO) via een subsidie van het Centrum voor Criminaliteitspreventie en Veiligheid (het CCV) is het onderzoeksrapport uitgebracht. Ga voor het rapport en een factsheet naar de website van de Haagse Hogeschool.
Hoeveel risico loopt jouw bedrijf op een cyberincident?
Een midden- en kleinbedrijf kan via de Risicoklassenindeling Digitale Veiligheid checken welk risico er is op een cyberincident. Deze inschatting bepaalt in welke risicoklasse een onderneming valt. De hoogte van deze klasse leidt tot een set aan bijbehorende maatregelen. De Risicoklassenindeling Digitale Veiligheid is opgezet onder leiding van het CCV samen met de Nationale Politie, Verbond van Verzekeraars, NLdigital, VNO-NCW / MKB-Nederland, Cyberveilig Nederland, CIO Platform Nederland, Online Trust Coalitie en het Digital Trust Center.