Met deze publicatie zet je de eerste stappen om de digitale weerbaarheid van je leveranciers te versterken. Het in kaart brengen en versterken van deze digitale weerbaarheid vraagt meer dan een compliancegedreven operatie. Compliance, ofwel onderzoeken of leveranciers afspraken naleven en wet- en regelgeving volgen, is daarvoor belangrijk maar onvoldoende. De dialoog met je leveranciers aangaan en het versterken van de relatie met je leveranciers, is zeker zo belangrijk voor weerbaarheid in de keten. Relatiemanagement dus. Hoe draag je als CISO bij aan leveranciersmanagement? Deze publicatie helpt je op weg. Van compliance naar dialoog met je leveranciers.
Doelgroep: Deze publicatie richt zich op organisaties die onder de NIS2-richtlijn komen te vallen en is geschreven voor personen die een rol hebben bij het beheersen van risico’s en op zoek zijn naar handvatten voor het in kaart brengen van de meest relevante risico’s voor hun organisatie.
Deze publicatie is tot stand gekomen met bijdragen van: Deze publicatie is tot stand gekomen dankzij gesprekken met mensen van Nationale Spoorwegen. Bovendien hebben we hiervoor samengewerkt met Digital Trust Center (DTC, Ministerie van Economische Zaken).
Achtergrond
Iedere organisatie kent afhankelijkheden van leveranciers. Verstoringen bij die leveranciers kunnen grote consequenties hebben voor het primaire proces. Zeker als de afhankelijkheid van zo’n leverancier voor het realiseren van de producten of diensten van de organisatie groot is. In gesprek zijn met je leveranciers over hun weerbaarheid is dan ook van groot belang voor jouw organisatie. Een goed beeld hebben van wie jouw belangrijkste leveranciers zijn en hoe het met hun weerbaarheid is gesteld, is cruciaal. Schade aan de vertrouwelijkheid, beschikbaarheid of integriteit van hun informatie, systemen of processen vormen in potentie een bedreiging voor het voortbestaan van jouw organisatie.
Voor deze publicatie gaan we ervan uit dat jij al hebt geïnventariseerd wie je leveranciers zijn en wie jouw belangrijkste leveranciers zijn. Heb je dat nog niet gedaan, lees dan eerst deze eerdere publicatie over hoe je dat aanpakt.
Weerbaarheid bij leveranciers is onderdeel van risicogestuurd leveranciersmanagement. Met leveranciersmanagement bedoelen wij het managen van de leveranciers. Dit bestaat uit alle activiteiten gericht op het verkennen, starten en onderhouden en verder ontwikkelen van een samenwerkingsrelatie met leveranciers. Het onderzoeken van, afspraken over en monitoren van de weerbaarheid van leveranciers vallen hieronder. Risicogestuurd betekent dat je het risicoprofiel van je leveranciers in kaart hebt gebracht en op basis van die risicoprofielen jouw leveranciers hebt geprioriteerd. Andere termen die worden gebruikt zijn: third party risk management en supply chain risk management.
Leveranciersmanagement is meer dan het afsluiten van een contract of een compliance-check. Met leveranciersmanagement geef je vorm en inhoud aan de samenwerking met jouw leveranciers. Je maakt afspraken met elkaar maar zeker zo belangrijk: de dialoog met jouw leverancier! De toenemende cyberdreiging maakt het noodzakelijk om ook cyberrisico’s hierin mee te nemen.
We kunnen het niet genoeg benadrukken: in gesprek zijn met je leveranciers is key in iedere fase van het hier beschreven proces. Nieuwe leveranciers, leveranciers met wie je het contract wilt verlengen, andere leveranciers met wie (ogenschijnlijk) alles op rolletjes loopt: zorg ervoor dat er met enige regelmaat contact is. Hoe vaak? Dat is met iedere leverancier weer anders en hangt onder meer af van de beschikbare capaciteit van jou en je team en het risicoprofiel van de leverancier. In het algemeen is sowieso belangrijk: weten wat er bij jouw (potentiële) leverancier speelt, ontwikkelingen die het risicoprofiel mogelijk veranderen en weten welke mensen je moet spreken tijdens incidenten en calamiteiten opdat je snel kunt schakelen. Onderhoud de relatie goed.
Bij leveranciersmanagement zijn meerdere disciplines betrokken zoals juridisch, financieel en cybersecurity. Van belang is dat digitale weerbaarheid wordt meegenomen in het inkoopproces, maar hoe de rol van de CISO en het security team in leveranciersmanagement wordt ingevuld, verschilt per organisatie. De rol van de CISO is namelijk niet bij iedere organisatie hetzelfde. Soms voert de CISO uitgebreide onderzoeken en analyses uit naar de weerbaarheid van bepaalde leveranciers. In andere gevallen levert de CISO een aantal voorwaarden waaraan een leverancier moet voldoen.
De meeste CISO’s willen echter graag zo vroeg mogelijk in het inkoopproces aangehaakt zijn. Vanaf het begin om de tafel zitten om de cyberweerbaarheid door te lichten met (nieuwe) leveranciers of als contracten vernieuwd moeten worden, is in hun ogen noodzakelijk maar nog niet bij iedere organisatie gewoonte.
Het integreren van security in het leveranciersmanagement is een continu verbeterproces dat nooit af is. Dit betekent ook dat het niet meteen perfect hoeft te zijn. Begin klein (bijvoorbeeld met tien belangrijke leveranciers) en bouw het programma steeds verder uit.
We onderscheiden drie stappen om de digitale weerbaarheid te verbeteren van de door jou geselecteerde leveranciers:
het in kaart brengen van de weerbaarheid van een leverancier, afspraken maken over verbeteringen van de weerbaarheid, en er vervolgens een continu proces van maken.Bij elke stap geven we suggesties voor hoe je dit aanpakt. In alle stappen is de dialoog met je leverancier belangrijk. Daarnaast is geen organisatie hetzelfde en daarom zul je in sommige gevallen maatwerk moeten toepassen.
Stap 1: Schat de weerbaarheid van de leverancier in
De verschillende manieren en bronnen voor het inschatten van de huidige weerbaarheid van een leverancier zijn uiteindelijk input voor de dialoog met de leverancier. Op basis van deze input en de dialoog maak je afspraken over de weerbaarheid van de leverancier (stap 2). De verschillende manieren hebben elk hun voor- en nadelen. Voor allemaal geldt dat deze bronnen input zijn voor de dialoog met de leverancier. Sommige van de onderstaande manieren vragen erg veel van een organisatie. Vooral kleine en jongere organisaties zijn niet altijd in staat om de gevraagde informatie aan te leveren. Pas daarom maatwerk toe waar nodig.
Een veelgebruikte manier waarmee organisaties hun digitale weerbaarheid aantonen is door te voldoen aan bepaalde normen of standaarden. Er zijn verschillende normen en standaarden die (delen van) informatiebeveiliging beschrijven, die we hieronder toelichten. Met een certificering van een externe partij toont een organisatie aan dat zij voldoet aan een bepaalde norm of standaard. Auditen is bijna altijd een onderdeel van het certificeringsproces.
Belangrijk is dat de diepgang van deze audits verschillen. Sommige audits onderzoeken alleen wat er op papier beschreven is. Bij andere audits is onderzoek via steekproeven de methode om te zien of de maatregelen op papier ook daadwerkelijk geïmplementeerd en effectief zijn. De volgende termen zijn gangbaar om onderscheid te maken in de mate van diepgang van een audit:
Opzet: is er een ontwerp op papier van een maatregel? En is deze goedgekeurd door hoger management?
Bestaan: is het ontwerp ook daadwerkelijk geïmplementeerd? Is er bijvoorbeeld een proces ingericht?
Werking: werkt de maatregel naar behoren? Is deze effectief?
Een ander belangrijk aandachtspunt bij certificeringen en auditrapporten is of deze het onderdeel van je organisatie dekken waarvoor je die hebt aangevraagd. In de praktijk gebeurt het regelmatig dat een certificering of auditrapport van het ene organisatieonderdeel wordt aangevraagd maar de certificering van een ander organisatieonderdeel wordt geleverd. Check dus de scope of het toepassingsgebied van de certificering of het auditrapport.
Veelgebruikte normen zijn ISO 27001 en SOC 2. Hieronder gaan wij verder in op wat deze normen inhouden en hoe deze normen helpen bij het inzichtelijk maken van de weerbaarheid van een organisatie.
De ISO 27001-norm beschrijft eisen voor het inrichten, implementeren, in stand houden en continu verbeteren van een managementsysteem voor informatiebeveiliging. Dit managementsysteem staat ook wel bekend als een Information Security Management System (ISMS). Het doel van dit systeem is om door middel van risicomanagement een passend niveau van weerbaarheid te realiseren. Een ISO 27001-certificering is een bewijs dat het ISMS en de bijbehorende processen naar behoren zijn ingericht en dat er maatregelen zijn genomen. In andere woorden, certificering betekent dus dat opzet, bestaan en werking van het proces om tot een passend niveau van weerbaarheid te komen op orde is, aldus de auditor. Een ISO 27001-certificering bevat geen evaluatie van de weerbaarheid an sich.
Een SOC (Service Organization Control) 2 rapport is een rapport waarin een organisatie claimt bepaalde controles geïmplementeerd te hebben. Vervolgens doet een auditor onderzoek of dit ook daadwerkelijk het geval is.
Er zijn twee soorten SOC 2-rapporten:
Type 1: de auditor doet onderzoek naar de opzet en het bestaan van bepaalde maatregelen. Deze onderzoeken vinden doorgaans in beperkte tijd plaats.
Type 2: de auditor doet onderzoek naar opzet, bestaan en werking van bepaalde maatregelen. Dit onderzoek wordt over een langere tijd uitgevoerd.
SOC 2-rapporten zijn met name gangbaar bij IT-dienstverleners en andere partijen die gegevens van organisaties verwerken.
Veel organisaties gebruiken vragenlijsten om de weerbaarheid bij een leverancier te inventariseren. Maak gebruik van bestaande vragenlijsten. Deze vragenlijst pas je vervolgens aan naar jouw specifieke informatiebehoefte. Er zijn veel verschillende vragenlijsten in omloop. Door bijvoorbeeld navraag te doen bij andere organisaties in jouw sector; gebruik te maken van initiatieven zoals Cyra; of lid te worden van organisaties zoals het Information Security Forum (ISF); heb jij toegang tot bestaande vragenlijsten en hoef jij deze niet from scratch zelf te maken.
Meerdere bedrijven bieden diensten aan waarbij zij de digitale weerbaarheid van een organisatie een cijfer geven. Door onderzoek naar bijvoorbeeld configuraties van systemen, bekende kwetsbaarheden en genomen maatregelen analyseren zij de weerbaarheid van een organisatie. Deze analyse focust zich met name op systemen en verkeer dat op het internet plaatsvindt of vanaf het internet benaderbaar is. Op basis van deze scan wordt vervolgens de weerbaarheid ingeschat.
Bereid ook jouw organisatie voor op incidenten bij leveranciers
Er is een groeiend besef dat niet alle incidenten voorkomen kunnen worden. Daarom is het nodig om jouw organisatie voor te bereiden zodat je de impact van een incident beperkt en het mogelijk is om te herstellen van een incident. Deze logica geldt ook bij leveranciers. Vroeg of laat vindt er bij een leverancier een incident plaats die jouw organisatie raakt. Zorg er daarom voor dat jij ook voorbereid bent op incidenten bij leveranciers. Neem scenario’s van cyberincidenten bij een leverancier mee in jouw incidentresponseplan en plannen om tijdig te herstellen van een incident.
Stap 2: Het versterken van de weerbaarheid van de leverancier
Het verbeteren van de weerbaarheid van een leverancier is uiteindelijk de verantwoordelijkheid van de leverancier zelf. Jij kunt dit niet voor hen doen. Je hebt echter wel een belang bij het goed functioneren van de leverancier en daarom is het een goed idee om zo nodig jouw leverancier hierbij te ondersteunen. Ook hier gelden de eerdergenoemde adviezen: ga in dialoog met je leverancier en lever maatwerk waar nodig.
Zorg ervoor dat de afspraken die jij met een leverancier maakt proportioneel en realistisch zijn. Heb jij zelf je cybersecurity niet op orde, verwacht dan ook niet van je leveranciers dat ze uit het niets, in een jaar tijd, volledig ISO 27001-compliant zijn. Van een kleine innovatieve startup verwacht je bovendien minder dan van een grote volwassen organisatie (zie kader).
Pas maatwerk toe voor een passend niveau van weerbaarheid. Een leverancier die bij verstoringen jouw organisatieprocessen lam legt, is een cruciale partner. Een andere leverancier, waarbij verstoringen weinig consequenties hebben voor jouw primaire proces, behoeft wellicht minder strikte contractuele afspraken.
Hieronder volgen enkele voorbeelden van afspraken met leveranciers:
Verbetering weerbaarheid: op basis van de informatie die je hebt opgehaald in stap 1, is de huidige weerbaarheid in kaart gebracht. Is deze nog onvoldoende dan maak je afspraken over verbeteringen en tijdslijnen waarin de leverancier deze doorvoert.
Afspraken over incidenten: bepaalde incidenten bij leveranciers kunnen grote gevolgen hebben voor jouw organisatie. Maak afspraken over welke incidenten jij geinformeerd wilt worden en binnen welke termijn dit moet gebeuren.
Eisen rondom opslag en verwerking van bedrijfsdata: als de leverancier jouw bedrijfsdata verwerkt, kun jij eisen stellen over de omstandigheden waarin dit gebeurt.
Afspraken over het toewerken naar een ISO 27001-certifcering, bijvoorbeeld aan de hand van CYRA.
Right to pentest: het recht om een eventueel een pentest uit te voeren. De scope van een pentest is doorgaans beperkt en richt zich op het vinden van zoveel mogelijk kwetsbaarheden en misconfiguraties. Spreek af of en onder welke voorwaarde jij een pentest mag uitvoeren
Right to redteam: het recht om een red team in te huren voor het testen van de weerbaarheid van een leverancier. Een red team heeft als doel om zo ver mogelijk binnen te dringen in de organisatie. Spreek af of en onder welke voorwaarde jij een red team mag uitvoeren.
Right toaudit: het recht om eventueel een audit af te nemen. Bij een audit onderzoek je of een bepaald system of de organisatie aan een bepaalde norm of wet voldoet. Denk aan BIO, ISO 27001 of de AVG.
De informatie die jij deelt met jouw leverancier neemt verschillende vormen aan. Bijvoorbeeld het delen van dreigingsinformatie, maar ook bepaalde plannen die de leverancier gebruikt voor de (door)ontwikkeling van haar eigen plannen. Denk aan een incidentresponsplan of een herstelplan. Stem met de leverancier af of deze behoefte heeft aan informatiedeling en, zo ja, in welke vorm.
Stap 3: Maak er een continu proces van
De suggesties die we in deze publicatie geven zijn geen eenmalige acties. Zorg ervoor dat het in kaart brengen en verbeteren van de weerbaarheid onderdeel wordt van een continu proces. Houd in dit proces rekening met:
Het belang van de leverancier voor jouw primaire proces en organisatie: waarschijnlijk beschikt jouw organisatie over een groot aantal leveranciers. Deze zijn niet allemaal even belangrijk voor het voortbestaan van jouw organisatie. Maak onderscheid tussen belangrijke en minder belangrijke leveranciers. Met de belangrijke leveranciers zal uiteindelijk de dialoog frequenter en inniger zijn.
De grootte en volwassenheid van de leverancier. We zeiden het al, maar benadrukken graag: wat jij vraagt van een leverancier moet realistisch en proportioneel zijn. Lever maatwerk waar nodig.
Dit continue proces is nooit helemaal af. Blijf dit doorontwikkelen. Zo ben jij in staat om je aan te passen aan veranderingen in de wereld.
In dialoog voor grip en invloed
In iedere stap is de dialoog van belang. Zorg ervoor dat er met enige regelmaat contact is tussen jouw organisatie en de leverancier. Dit contact onderhoudt iemand van het securityteam of bijvoorbeeld een account- of contractmanager. Zorg er in ieder geval voor dat zij goed geïnformeerd zijn en de juiste vragen kunnen stellen. Hierdoor blijf je op de hoogte van relevante ontwikkelingen die het risicoprofiel mogelijk veranderen en onderhoud je de relatie. Ook weet je wie je moet spreken tijdens incidenten en kun je snel schakelen.
Startups brengen de broodnodige innovatiekracht die je als organisatie niet hebt of waarvoor je als organisatie zelf bijvoorbeeld meer tijd nodig zou hebben. Zo’n startup vanaf het allereerste begin vragen om te voldoen aan de strenge eisen van SOC 2 of een ISO 27001 is geen haalbare kaart. Toch wil je wel dat zo’n startup aan tenminste de minimaal vereiste veiligheidsmaatregelen voldoet. Hoe hiermee om te gaan? Vraag de organisatie in de eerste fase om een selfassessment op basis van een vragenlijst te doen (zoals in stap 1 wordt beschreven). De overige stappen of fasen zijn dezelfde als voor andere organisaties: het vastleggen van veiligheidseisen- of afspraken in een contract en het doorlichten van het product of dienst door zelf onderzoek te doen maar ook bijvoorbeeld door voor te stellen een pentest te (laten) doen, voordat je er een cyclisch proces van maakt.
Ook voor zo’n selfassessment geldt overigens dat de papieren exercitie alleen niet genoeg is. Je bevraagt de organisatie vervolgens op wat ze hebben geantwoord in de assessment. Hiervoor komt je eigen kennis en ervaring van pas. Stel dat een vraag naar kwetsbaarhedenbeheer (voorbeeldvraag: voert de organisatie beveiligingsupdates, bijvoorbeeld op Patch Tuesday van Microsoft, meteen door?) een beeld oplevert van ad hoc – handelen (voorbeeldantwoord: ‘meestal wel’). Dan is dat natuurlijk reden voor een gesprek.
Concentreer je op het verbeterproces. Maak afspraken over de termijn voor het realiseren van verbeteringen, bijvoorbeeld een jaar. Iets wat nu nog niet op orde is, moet binnen ene bepaalde periode wel op orde zijn. Maak hierbij een afweging tussen aan de ene kant weerbaarheid en aan de andere kant het belang van de business om met deze startup in zee te gaan. Maak ook afspraken hoe een leverancier het bewijs voor naleving van de afspraak op termijn kan leveren.
