Je eigen security op orde? Mooi. Maar daarmee is de klus nog niet geklaard. De nieuwe Europese richtlijn voor netwerk- en informatiebeveiliging NIS2 verplicht organisaties om naar de hele toeleveringsketen te kijken. Voor ‘navelstaren’ is geen plaats meer. Ook je ketenpartners moeten hun security op orde hebben.
Geen plakjes belegen kaas, of voorverpakte mozzarella en gorgonzola voor op de quattro formaggi. Het overkwam klanten van Albert Heijn in 2021. De supermarktketen had na een ransomwareaanval te maken met een ‘kaasinfarct’. Lege schappen en boze consumenten waren het gevolg. En die aanval was nog niet eens gericht op Albert Heijn zelf, maar op een logistieke partner. Daardoor kwam de levering vanuit de magazijnen stil te liggen.
Supplychain-aanvallen
Het voorbeeld van de ‘kaashack’ is helaas niet uniek. Het komt vaker voor dat een organisatie getroffen wordt door een cyberaanval op een partner in de keten. Zo droeg een cyberaanval op VDL in 2021 bij aan een wereldwijd materiaaltekort bij chipmachinefabrikant ASML. Ook Philips ondervond hinder van de cyberaanval op ‘een belangrijke toeleverancier’.
De voorbeelden maken duidelijk dat een zwakke plek in de beveiliging nadelige gevolgen kan hebben voor alle partners in de keten. Dat geldt helemaal als cybercriminelen deze zwakke plek misbruiken om partners of klanten aan te vallen. Zo werd in april van dit jaar gewaarschuwd voor supplychain-aanvallen op gebruikers van VoIP-software-oplossing 3CX. Gebruikers haalden met een update van de software ook een stukje malware binnen.
Ketenveiligheid in NIS2
Ketenveiligheid is dan ook een belangrijk onderwerp in NIS2, de Europese richtlijn voor meer cyberweerbaarheid die nu wordt omgezet in nationale wetgeving. Beveiligingsmaatregelen moeten niet alleen gericht zijn op het voorkomen van incidenten in de eigen organisatie, maar op de bescherming van de gehele keten.
NIS2 spoort bedrijven aan om afspraken rond cyberveiligheid contractueel vast te leggen met hun directe leveranciers en partners. Die afspraken gaan dan bijvoorbeeld over de omgang met en beveiliging van elkaars data en de beveiliging van onderlinge communicatie. Een ander aspect is de evaluatie van de kwaliteit van de producten en cyberbeveiligingspraktijken. Is security bijvoorbeeld ingebouwd in de ontwikkelprocessen?
Hoe bedrijven bij kunnen dragen aan meer ketenveiligheid? Dat maken deze drie voorbeelden duidelijk.
Praktijkvoorbeeld 1: ASML
Een bedrijf dat ketenveiligheid en samenwerking op het gebied van security al jaren hoog op de agenda heeft staan, is chipmachinefabrikant ASML. Want Iedereen zit in dezelfde boot, en dan moet je ook samen het water eruit pompen als de boot dreigt te zinken.
“Je moet je heel goed bewust zijn van de context waarin je opereert en van je afhankelijkheid van andere bedrijven”, zo zegt CISO Aernout Reijmer in een interview met KPN’s Cyber Security Perspectives. “Die content moet je ‘managen’. Op de eerste plaats door ervoor te zorgen dat de securityclausules zijn bijgewerkt en dat leverende partijen weten aan welke security-eisen ze moeten voldoen.”
“Bij je toeleveranciers heb je te maken met peers, met collega-securityprofessionals. Die moet je helpen om de security op orde te krijgen”, vervolgt Reijmer. ASML heeft daarvoor verschillende Circles of Trust in het leven geroepen, bijvoorbeeld met de belangrijkste toeleveranciers. De chipmachinefabrikant helpt de deelnemers om de security op orde te krijgen - onder andere door kennis, informatie en best practices te delen - en gaat bij een aanval naast ze zitten.
Praktijkvoorbeeld 2: ProRail
Bij ketensecurity hoort ook dat je kijkt of alle partijen in de keten snel kunnen reageren op een cyberincident. ProRail doet dat onder andere door op regelmatige basis deel te nemen aan grootschalige cybercrisisoefeningen. “Samenwerking op sectoraal niveau staat hoog in ons vaandel”, aldus CIO Arjan Boersma in gesprek met Cyber Security Perspectives.
“We oefenen regelmatig onze reactie op een cybercrisis, zowel zelfstandig als samen met andere partijen binnen de sector”, legt Boersma uit. “We zijn dan ook een vaste deelnemer aan ISIDOOR, de grootschalige Nederlandse cybercrisisoefening.”
Praktijkvoorbeeld 3: NLSecure[ID]
Bij het waarborgen van security in de keten is effectieve kennisdeling onmisbaar. Om die kennisdeling te bevorderen, heeft KPN Security de handschoen opgepakt met NLSecure[ID]. Met dit evenement en interactief online platform stimuleert KPN Security de informatie-uitwisseling, kennisdeling en samenwerking tussen Nederlandse securityprofessionals.
De septembereditie van NLSecure[ID] vond dit jaar plaats op 26 september. Onderdeel van deze editie was een Capture the Flag (CTF) Challenge. Tijdens deze wedstrijd probeerden de deelnemers een fictieve organisatie te hacken. “Ethical hackers - de deelnemers aan de CTF Challenge - zijn onmisbaar voor security binnen de keten”, zegt Erno Doorenspleet, CTO KPN Security. “Zij zijn het die de beveiliging binnen een keten op de proef stellen. Daar mag best meer aandacht en waardering voor komen.”
