Cybercriminelen hebben het licht gezien. Via bijvoorbeeld een IT-dienstverlener kunnen ze ook bij de klanten van die dienstverlener binnendringen en veel schade aanrichten. ASML liet tijdens NLSecure[ID] zien hoe het met Circles of Trust de hele keten sterker maakt.
Misschien wel het bekendste voorbeeld van een supplychain-aanval vond plaats in december 2020. Deze aanval was gericht op SolarWinds, een leverancier van populaire software die door organisaties over de hele wereld wordt gebruikt. Via een software-update wisten hackers toegang te krijgen tot de systemen van SolarWinds-klanten en gevoelige informatie te stelen.
Toenemend aantal incidenten
Het SolarWinds-incident staat zeker niet op zichzelf. Zo kreeg Uber eind 2022 te maken met een supplychain-aanval. Data van Uber-medewerkers lagen op straat na een inbraak bij een van de softwareleveranciers van Uber. En recent ontvingen de klanten van enkele grote Nederlandse bedrijven een mail over het lekken van data door een marktonderzoekbureau waarmee wordt samengewerkt.
Volgens Gartner heeft in 2025 45 procent van de organisaties te maken gehad met een supplychain-aanval. Zo’n aanval kan bijvoorbeeld de productie vertragen, het vertrouwen van klanten beschadigen of leiden tot het verlies van intellectueel eigendom. Het is daarom belangrijk om niet alleen de eigen security te verbeteren, maar ook die van partners in de keten.
Circles of Trust
Door elkaar te versterken, versterk je de hele keten. En ben je zelf veiliger. Dat is ook precies de gedachte achter de ‘Circles of Trust’ die ASML onderhoudt met zijn ketenpartners.
Het hightechbedrijf uit Veldhoven werkt samen met maar liefst vijfduizend partners en toeleveranciers. “En die hebben allemaal toegang tot onze bedrijfsplannen en IT-systemen”, vertelde Piet Bel, Senior Alliance Manager bij ASML, tijdens NLSecure[ID]. “Als zo’n toeleverancier de security niet op orde heeft, lopen wij het risico dat onze fabriek stil komt te staan of dat we ons intellectueel eigendom kwijtraken.” ASML beperkt die risico’s door binnen Circles of Trust intensief samen te werken met toeleveranciers en andere partners.
Doe het samen
Tijdens het securityevenement in januari vertelden Piel Bel, Vladimir Cibic (CISO van KPN) en Erno Doorenspleet (Vice President Security Strategy van KPN Security) hoe partners elkaar en daarmee de hele keten kunnen versterken. Daaruit volgden enkele aanbevelingen:
1. Breng de keten in kaart
Allereerst moet je een duidelijk beeld hebben van de partners in de keten en de rol die ze daar hebben. Dit omvat alle leveranciers, distributiecentra, transportbedrijven en eventuele andere partners die betrokken zijn bij je dienstverlening of de productie, opslag en distributie van je goederen.
2. Identificeer de risico’s in de keten
Een volgende stap is het in kaart brengen, beoordelen en controleren van alle securityrisico’s die de samenwerking met partners en toeleveranciers met zich meebrengt. Dit noemen we ook wel Third Party Risk Management, dat vaak al begint in de inkoopfase en eindigt na het aflopen van een contract.
3. Formuleer eisen
Na het identificeren van de partners en de risico’s is het tijd om minimumbeveiligingseisen te stellen waaraan partners moeten voldoen. Dit kan bijvoorbeeld het implementeren van beveiligingsmaatregelen zoals tweefactorauthenticatie, het regelmatig bijwerken van software en het opstellen van strikte toegangsbeperkingen omvatten.
4. Draag kennis over
Kennisoverdracht is een belangrijk element van het elkaar helpen. KPN doet dit bijvoorbeeld door zijn KPN Security Policy (KSP) publiekelijk beschikbaar te stellen. De KSP kan als leidraad dienen bij de implementatie van securitymaatregelen.
5. Controleer de security
Security is een continu proces, en moet dus ook doorlopend worden gecontroleerd. Ook de beveiliging van partners in de keten. Een gezamenlijke red-teamingoefening kan daarvoor een middel zijn. Gecertificeerde ethical hackers nemen dan de IT-infrastructuur en de getroffen beveiligingsmaatregelen onder de loep.
6. Bied hulp bij een incident
Gaat het ondanks alle voorzorgsmaatregelen toch mis bij een partner? Ga er dan naast zitten om te helpen. “We zitten met z’n allen in die boot. Als we niet met z’n allen het water eruit pompen, gaan we met z’n allen kopje onder”, aldus Bel.
7. Concurreer niet op security
Zoek elkaar op, zo luidde het algemene advies van Bel, Cibic en Doorenspleet. En dan niet alleen binnen een keten, maar bijvoorbeeld ook binnen branches of binnen een regio. Doe het samen, net zoals schuttersgildes in de Middeleeuwen zorgden voor de veiligheid in dorpen en steden.
Wil je meer sessies van NLSecure[ID] terugkijken? Of alvast aanmelden voor de aankomende septembereditie van NLSecure[ID]? Ga dan naar NLSecure[ID].