Rijksoverheid logo
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Welkom bij de vernieuwde website van het versterkte NCSC

Jouw helpende hand in cybersecurity. Kijk gerust rond of lees meer over de vernieuwde cybersecurityorganisatie.

Bescherm ook jouw organisatie tegen supply chain aanvallen!

Kennisartikelen
Leestijd:
Toeleveringsketen (supplychain)
Beginnen
Ook jouw organisatie is, misschien zonder dat je je daarvan bewust bent, in sterke mate afhankelijk van een groot aantal toeleveranciers. Als deze niet meer (kunnen) leveren, komt ook jouw productie of dienstverlening in gevaar. Naast de afhankelijkheid van fysieke deelproducten, zijn de klanten en toeleveranciers vaak ook digitaal nauw met elkaar verbonden. Dit maakt de samenwerking makkelijker, maar creëert ook sterke afhankelijkheden.

Doelgroep:
 

In samenwerking met:
met Bluebird & Hawk BV, Agentschap van de Generale Thesaurie, Kelvin Rorive, co-founder CCRC (Cyber Chain Resilience Consortium).

Achtergrond

In de zomer van 2017 werd een containerterminal in de Rotterdamse haven getroffen door een cyberaanval. Een terminal -waar normaal duizenden containers per dag verscheept worden- werd door deze aanval compleet stilgelegd, met grote logistieke problemen als gevolg. Schepen moesten uitwijken naar andere havens, vrachtwagens konden hun goederen niet kwijt en stonden dagenlang in files en klanten moesten lang op hun spullen wachten. De totale schade liep al snel op tot in de miljoenen euro’s. En het frappante was: de haven was waarschijnlijk niet eens het doelwit van de cyberaanval, maar slechts ‘collateral damage’. Deze cyberaanval is één van de vele voorbeelden hoe een digitale aanval niet alleen schade veroorzaakt bij het doelwit van de cyberaanval, maar grote problemen kan veroorzaken bij andere bedrijven.

Bescherm ook jouw organisatie tegen supply chain aanvallen!

Elke organisatie die een product maakt of een dienst levert gebruikt hierbij (deel)producten of diensten van toeleveranciers. Deze toeleverancier maakt daarbij ook weer gebruik van andere toeleveranciers. Als we alle toeleveranciers zouden uittekenen, ontstaat er een wereldwijd web van verbanden. Dit web wordt ook wel de ‘keten’ of de ‘supply chain’ genoemd. Ketens kunnen lineair zijn (waarin producten van A naar B worden doorgegeven) of bestaan uit complexe netwerken waarbij terugkoppeling tussen partijen plaatsvindt. Een organisatie die deel uitmaakt van een keten kan een rol hebben als leverancier of afnemer (of beide), maar ook als toezichthouder of als brancheorganisatie.

Waarom moet ik mij zorgen maken over mijn supply chain?

Er zijn grote verschillen in digitale weerbaarheid tussen organisaties, sectoren en ketens. Daarom is het mogelijk dat de digitale weerbaarheid van jouw organisatie  op orde is, maar je toch aanzienlijke risico’s loopt omdat jouw toeleverancier of (ICT-)dienstverlener kwetsbaar is voor cyberrisico’s. Dit is een risico voor de beschikbaarheid, de vertrouwelijkheid en de integriteit van jouw bedrijfsprocessen, informatie en daarmee jouw hele organisatie.

Er zijn meerdere soorten digitale supply chain risico’s die jouw organisatie kunnen aantasten. 
Deze worden toegelicht aan de hand van een drietal scenario’s

Scenario 1: 

Een toeleverancier levert niet meer als gevolg van een digitale aanval. 

De kans is groot dat jouw organisatie afhankelijk is van bepaalde toeleveranciers. Als leveranciers niet kunnen leveren komt de continuïteit van jouw organisatie in gevaar. Een voorbeeld hiervan is de zogenaamde “kaashack”.

Voorbeeld: April 2021 was een belangrijke kaasleverancier van Albert Heijn het slachtoffer van een ransomware-aanval. Hierdoor had dit bedrijf niet langer toegang tot haar (logistieke) systemen. Hoewel er nog voldoende kaas gemaakt werd, was het bedrijf niet langer in staat om deze te distribueren. Het directe gevolg was dat er in de Albert Heijn winkels veel minder kaas in de schappen lag. 

Checkvragen om je afhankelijkheid van toeleveranciers in kaart te brengen:

  • Weet je van welke toeleverancier(s) je afhankelijk bent?
  • Heb je zicht op welke risico’s jouw organisatie loopt in relatie tot deze afhankelijkheden? Begin bij de toeleveranciers en dienstverlener waarvan jij denkt de grootste afhankelijkheid te hebben en die essentieel zijn voor jouw productieprocessen.
  • Welke alternatieven heb je bij het uitvallen van een toeleverancier?
  • Heb je jouw belangrijkste gegevens beschikbaar als de toeleverancier de gegevens kwijtraakt?

Scenario 2: 

Jouw (ICT-)dienstverlener is gehackt, waardoor de aanvaller mogelijk ook toegang heeft gekregen tot jouw (digitale) systemen.

Veel organisaties besteden hun ICT uit aan gespecialiseerde ICT-dienstverleners of maken gebruik van specifieke diensten voor bijvoorbeeld de financiële administratie of personeelszaken. Hierdoor ontstaat er een grote afhankelijkheid van deze dienstverleners. Via deze afhankelijkheden kunnen kwaadwillende actoren toegang krijgen tot gevoelige informatie of ze kunnen de processen van jouw organisatie verstoren.

Voorbeeld: waar dit misging zijn een vijftal gemeentes in Limburg die gehackt werden via een (ICT-)dienstverlener. Of een groot aantal gemeentes in Duitsland die hun dienstverlening (deels) moesten stopzetten doordat hun ICT-dienstverlener gehackt was. 
 
Checkvragen om in kaart te brengen in hoeverre jij afhankelijk bent van je (IT-)dienstverlener(s):

  • Wie is jouw (IT-)dienstverlener? Is het er één of zijn het er meerderen? Denk hierbij alle diensten waarvan jouw organisatie afhankelijk is. Dit gaat niet alleen om IT, maar ook om diensten die je bijvoorbeeld gebruik voor HR, financiële administratie of voorraadbeheer.
  • Heb je afspraken gemaakt met je (IT-)dienstverlener over wie waar verantwoordelijke voor is? Zo ja, weet jij ook wat jouw verantwoordelijkheden zijn?
  • Heeft de (IT-)dienstverlener een bepaalde certificering als bewijs van haar volwassenheidsniveau op het gebied van digitale weerbaarheid?

Scenario 3: 

Er is een kritieke kwetsbaarheid ontdekt in een van de (digitale) producten of diensten die gebruikt worden binnen jouw organisatie.

Organisaties maken gebruik van meerdere digitale producten en diensten zoals e-mail, chat applicaties, HR-systemen, CRM-systemen, videoconferentie programma’s en financiële systemen. Deze worden vaak door andere organisaties ontwikkeld en onderhouden, maar bevatten ook geregeld kwetsbaarheden. Indien er in één van deze componenten een kwetsbaarheid wordt ontdekt, kunnen criminelen deze kwetsbaarheid misbruiken. In het ergste geval kan dit leiden tot diefstal of versleuteling van gevoelige data waardoor je er geen toegang meer tot hebt totdat je losgeld betaalt. Dit fenomeen is beter bekend als een ransomware aanval.

Voorbeeld: Hoppenbrouwers Techniek, een bedrijf in de technische dienstverlening, werd in 2021 gehackt door criminelen. Ondanks de snelle reactie van Hoppenbrouwers Techniek, lag het bedrijf toch enkele dagen plat, wat duizenden euro’s aan schade opleverde. De criminelen kwamen binnen via een kwetsbaarheid in het softwareprogramma Kaseya. Hoewel Hoppenbrouwers Techniek deze aanval niet had kunnen voorkomen omdat Kaseya niet tijdig een oplossing voor de kwetsbaarheid kon ontwikkelen, laat dit voorbeeld wel zien wat de impact kan zijn van een kwetsbaarheid in een specifiek stukje software.

Checkvragen om risico’s met betrekking tot kritieke kwetsbaarheden in kaart te brengen:

  • Heb je in beeld welke (digitale) producten en diensten er binnen jouw organisatie in gebruik zijn? Denk hierbij aan software op laptops en smartphones, maar ook aan productiemachines en toegangssystemen.
  • Is er altijd iemand beschikbaar die updates kan uitvoeren buiten werktijd of zorgt jouw dienstverlener ervoor dat kritische kwetsbaarheden vrijwel direct worden geïnstalleerd?
  • Zijn de producten allemaal geüpdatet met de laatste beschikbare versie?
  • Gebruik je ook digitale producten of diensten waarvan de leverancier geen updates meer levert (end-of-life)? Als een product end-of-life is en er geen updates meer krijgt, start dan tijdig vervanging naar een alternatief product.

Weerbaarheid in de keten, wat kun je doen?

Weerbaarheid in de keten begint bij jezelf. Als onderdeel van een keten is het belangrijk dat de digitale beveiliging bij jouw organisatie goed op orde is. Daarnaast is het belangrijk in gesprek te gaan met jouw partners, leveranciers, en (ICT-)dienstverleners. Zorg dat cybersecurity een onderwerp is dat in tussentijdse gesprekken en inkoopprocedures wordt meegenomen.

Concrete stappen hiervoor zijn:

1. Ga in gesprek met jouw toeleveranciers en andere organisaties die onderdeel zijn van jouw supply chain. 
Vraag bijvoorbeeld of zij de 5 basisprincipes van digitale weerbaarheid hebben geïmplementeerd. Voor een gesprek met jouw ICT-Dienstverlener kun je ook de DTC-handleiding “Gesprek met je ICT-dienstverlener” gebruiken.

2. Wanneer er een nieuw product of dienst wordt ingekocht, zorg er dan voor dat digitale weerbaarheid en continuïteit van levering mee worden genomen in het inkoopproces.

3. Maak regelmatig back-ups van jouw belangrijkste systemen (of spreek af met je dienstverlener dat die dat doet). Zorg er ook voor je regelmatig oefent met het terugzetten van de back-ups.

4. Ook jij hebt een verantwoordelijkheid ten opzichte van jouw afnemers en klanten
Zorg er dus voor dat ook jouw digitale weerbaarheid op orde is. Begin met het implementeren van de 5 basisprincipes van digitale weerbaarheid.

Als je bovenstaande stappen al hebt genomen, lees dan ook het artikel " Omgaan met risico's uit de toeleveringsketen". Hier zijn meerdere good practices te vinden over hoe andere organisaties hun supply chain beveiligen. 

 

Formulier
Heeft deze pagina je geholpen?