Supply Chain

In de zomer van 2017 werd een containerterminal in de Rotterdamse haven getroffen door een cyberaanval. Een terminal -waar normaal duizenden containers per dag verscheept worden- werd door deze aanval compleet stilgelegd, met grote logistieke problemen als gevolg. Schepen moesten uitwijken naar andere havens, vrachtwagens konden hun goederen niet kwijt en stonden dagenlang in files en klanten moesten lang op hun spullen wachten. De totale schade liep al snel op tot in de miljoenen euro’s. En het frappante was: de haven was waarschijnlijk niet eens het doelwit van de cyberaanval, maar slechts ‘collateral damage’. Deze cyberaanval is één van de vele voorbeelden hoe een digitale aanval niet alleen schade veroorzaakt bij het doelwit van de cyberaanval, maar grote problemen kan veroorzaken bij andere bedrijven.

Bescherm ook jouw organisatie tegen supply chain aanvallen!

Elke organisatie die een product maakt of een dienst levert gebruikt hierbij (deel)producten of diensten van toeleveranciers. Deze toeleverancier maakt daarbij ook weer gebruik van andere toeleveranciers. Als we alle toeleveranciers zouden uittekenen, ontstaat er een wereldwijd web van verbanden. Dit web wordt ook wel de ‘keten’ of de ‘supply chain’ genoemd. Ketens kunnen lineair zijn (waarin producten van A naar B worden doorgegeven) of bestaan uit complexe netwerken waarbij terugkoppeling tussen partijen plaatsvindt. Een organisatie die deel uitmaakt van een keten kan een rol hebben als leverancier of afnemer (of beide), maar ook als toezichthouder of als brancheorganisatie.

Ook jouw organisatie is, misschien zonder dat je je daarvan bewust bent, in sterke mate afhankelijk van een groot aantal toeleveranciers. Als deze niet meer (kunnen) leveren, komt ook jouw productie of dienstverlening in gevaar. Naast de afhankelijkheid van fysieke deelproducten, zijn de klanten en toeleveranciers vaak ook digitaal nauw met elkaar verbonden. Dit maakt de samenwerking makkelijker, maar creëert ook sterke afhankelijkheden.

Waarom moet ik mij zorgen maken over mijn supply chain?

Er zijn grote verschillen in digitale weerbaarheid tussen organisaties, sectoren en ketens. Daarom is het mogelijk dat de digitale weerbaarheid van jouw organisatie op orde is, maar je toch aanzienlijke risico’s loopt omdat jouw toeleverancier of (ICT-)dienstverlener kwetsbaar is voor cyberrisico’s. Dit is een risico voor de beschikbaarheid, de vertrouwelijkheid en de integriteit van jouw bedrijfsprocessen, informatie en daarmee jouw hele organisatie.

Er zijn meerdere soorten digitale supply chain risico’s die jouw organisatie kunnen aantasten. Deze worden toegelicht aan de hand van een drietal scenario’s

De kans is groot dat jouw organisatie afhankelijk is van bepaalde toeleveranciers. Als leveranciers niet kunnen leveren komt de continuïteit van jouw organisatie in gevaar. Een voorbeeld hiervan is de zogenaamde “kaashack”.

Voorbeeld: April 2021 was een belangrijke kaasleverancier van Albert Heijn het slachtoffer van een ransomware-aanval. Hierdoor had dit bedrijf niet langer toegang tot haar (logistieke) systemen. Hoewel er nog voldoende kaas gemaakt werd, was het bedrijf niet langer in staat om deze te distribueren. Het directe gevolg was dat er in de Albert Heijn winkels veel minder kaas in de schappen lag.

Checkvragen om je afhankelijkheid van toeleveranciers in kaart te brengen:

Weet je van welke toeleverancier(s) je afhankelijk bent?
Heb je zicht op welke risico’s jouw organisatie loopt in relatie tot deze afhankelijkheden? Begin bij de toeleveranciers en dienstverlener waarvan jij denkt de grootste afhankelijkheid te hebben en die essentieel zijn voor jouw productieprocessen.
Welke alternatieven heb je bij het uitvallen van een toeleverancier?
Heb je jouw belangrijkste gegevens beschikbaar als de toeleverancier de gegevens kwijtraakt?

Veel organisaties besteden hun ICT uit aan gespecialiseerde ICT-dienstverleners of maken gebruik van specifieke diensten voor bijvoorbeeld de financiële administratie of personeelszaken. Hierdoor ontstaat er een grote afhankelijkheid van deze dienstverleners. Via deze afhankelijkheden kunnen kwaadwillende actoren toegang krijgen tot gevoelige informatie of ze kunnen de processen van jouw organisatie verstoren.

Voorbeeld: waar dit misging zijn een vijftal gemeentes in Limburg die gehackt werden via een (ICT-)dienstverlener. Of een groot aantal gemeentes in Duitsland die hun dienstverlening (deels) moesten stopzetten doordat hun ICT-dienstverlener gehackt was.

Checkvragen om in kaart te brengen in hoeverre jij afhankelijk bent van je (IT-)dienstverlener(s):

Wie is jouw (IT-)dienstverlener? Is het er één of zijn het er meerderen? Denk hierbij alle diensten waarvan jouw organisatie afhankelijk is. Dit gaat niet alleen om IT, maar ook om diensten die je bijvoorbeeld gebruik voor HR, financiële administratie of voorraadbeheer.
Heb je afspraken gemaakt met je (IT-)dienstverlener over wie waar verantwoordelijke voor is? Zo ja, weet jij ook wat jouw verantwoordelijkheden zijn?
Heeft de (IT-)dienstverlener een bepaalde certificering als bewijs van haar volwassenheidsniveau op het gebied van digitale weerbaarheid?

Organisaties maken gebruik van meerdere digitale producten en diensten zoals e-mail, chat applicaties, HR-systemen, CRM-systemen, videoconferentie programma’s en financiële systemen. Deze worden vaak door andere organisaties ontwikkeld en onderhouden, maar bevatten ook geregeld kwetsbaarheden. Indien er in één van deze componenten een kwetsbaarheid wordt ontdekt, kunnen criminelen deze kwetsbaarheid misbruiken. In het ergste geval kan dit leiden tot diefstal of versleuteling van gevoelige data waardoor je er geen toegang meer tot hebt totdat je losgeld betaalt. Dit fenomeen is beter bekend als een ransomware aanval.

Voorbeeld: Hoppenbrouwers Techniek, een bedrijf in de technische dienstverlening, werd in 2021 gehackt door criminelen. Ondanks de snelle reactie van Hoppenbrouwers Techniek, lag het bedrijf toch enkele dagen plat, wat duizenden euro’s aan schade opleverde. De criminelen kwamen binnen via een kwetsbaarheid in het softwareprogramma Kaseya. Hoewel Hoppenbrouwers Techniek deze aanval niet had kunnen voorkomen omdat Kaseya niet tijdig een oplossing voor de kwetsbaarheid kon ontwikkelen, laat dit voorbeeld wel zien wat de impact kan zijn van een kwetsbaarheid in een specifiek stukje software.

Checkvragen om risico’s met betrekking tot kritieke kwetsbaarheden in kaart te brengen:

Heb je in beeld welke (digitale) producten en diensten er binnen jouw organisatie in gebruik zijn? Denk hierbij aan software op laptops en smartphones, maar ook aan productiemachines en toegangssystemen.
Is er altijd iemand beschikbaar die updates kan uitvoeren buiten werktijd of zorgt jouw dienstverlener ervoor dat kritische kwetsbaarheden vrijwel direct worden geïnstalleerd?
Zijn de producten allemaal geüpdatet met de laatste beschikbare versie?
Gebruik je ook digitale producten of diensten waarvan de leverancier geen updates meer levert (end-of-life)? Als een product end-of-life is en er geen updates meer krijgt, start dan tijdig vervanging naar een alternatief product.

NIS2 en de supply chain:

NIS2-richtlijn is een Europese richtlijn die tot doel heeft een hoog gemeenschappelijk niveau van cybersecurity te bereiken binnen alle relevante sectoren die in de Europese Unie opereren. Organisaties die een cruciale rol vervullen op maatschappelijk en economisch gebied zijn verplicht om adequate maatregelen te nemen ten aanzien van risico’s die netwerk- en informatiesystemen bedreigen. Een belangrijk thema van deze richtlijn is de zorgplicht. Organisaties moeten passende maatregelen nemen om hun diensten zoveel mogelijk te waarborgen en de gebruikte informatie te beschermen tegen cyberbeveiligingsrisico’s. Dit wordt nog uitgewerkt in lagere wetgeving. Eén van de genoemde maatregelen die organisaties minimaal dienen te nemen omvat ’de beveiliging van de toeleveringsketen’, ofwel de supply chain.

Is jouw bedrijf onderdeel van een NIS2-keten? Ga dan alvast aan de slag met een aantal 'no regret'-cybermaatregelen. Maar er is meer te doen om de veiligheid van de keten op orde te maken.

Weerbaarheid in de keten, wat kun je doen?

Weerbaarheid in de keten begint bij jezelf. Als onderdeel van een keten is het belangrijk dat de digitale beveiliging bij jouw organisatie goed op orde is. Daarnaast is het belangrijk in gesprek te gaan met jouw partners, leveranciers, en (ICT-)dienstverleners. Zorg dat cybersecurity een onderwerp is dat in tussentijdse gesprekken en inkoopprocedures wordt meegenomen.

Concrete stappen hiervoor zijn:

1. Ga in gesprek met jouw toeleveranciers en andere organisaties die onderdeel zijn van jouw supply chain.
Vraag bijvoorbeeld of zij de Basismaatregelen Cybersecurity van het NCSC of de 5 basisprincipes van het DTC hebben geïmplementeerd. Voor een gesprek met jouw ICT-Dienstverlener kun je ook de DTC-handleiding “Gesprek met je ICT-dienstverlener” gebruiken.

2. Wanneer er een nieuw product of dienst wordt ingekocht, zorg er dan voor dat digitale weerbaarheid en continuïteit van levering mee worden genomen in het inkoopproces.

3. Maak regelmatig back-ups van jouw belangrijkste systemen (of spreek af met je dienstverlener dat die dat doet). Zorg er ook voor je regelmatig oefent met het terugzetten van de back-ups.

4. Ook jij hebt een verantwoordelijkheid ten opzichte van jouw afnemers en klanten.
Zorg er dus voor dat ook jouw digitale weerbaarheid op orde is. Begin met het implementeren van de Basismaatregelen Cybersecurity van het NCSC of de 5 basisprincipes van het DTC.

Als je bovenstaande stappen al hebt genomen, zie dan ook het kennisproduct " Omgaan met risico's uit de toeleveringsketen". Hier zijn meerdere good practices te vinden over hoe andere organisaties hun supply chain beveiligen.

Dit artikel is tot stand gekomen uit een samenwerking tussen het Digital Trust Center en het Nationaal Cyber Security Centrum.
In afstemming met Bluebird & Hawk BV, Agentschap van de Generale Thesaurie, Kelvin Rorive, co-founder CCRC (Cyber Chain Resilience Consortium).

Supply Chain

Bescherm ook jouw organisatie tegen supply chain aanvallen!

Waarom moet ik mij zorgen maken over mijn supply chain?

NIS2 en de supply chain:

Weerbaarheid in de keten, wat kun je doen?

Concrete stappen hiervoor zijn:

Wellicht vind je dit ook interessant

Cybercheck: ook jij hebt supply chain risico’s!

Omgaan met risico's in de toeleveringsketen

Omgaan met insider threats

Supply Chain

Bescherm ook jouw organisatie tegen supply chain aanvallen!

Waarom moet ik mij zorgen maken over mijn supply chain?

Scenario 1. Een toeleverancier levert niet meer als gevolg van een digitale aanval.

Scenario 2. Jouw (ICT-)dienstverlener is gehackt, waardoor de aanvaller mogelijk ook toegang heeft tot jouw (digitale) systemen

Scenario 3. Er is een kritieke kwetsbaarheid ontdekt in één van de (digitale) producten of diensten die gebruikt worden binnen van jouw organisatie

NIS2 en de supply chain:

Weerbaarheid in de keten, wat kun je doen?

Concrete stappen hiervoor zijn:

Wellicht vind je dit ook interessant

Cybercheck: ook jij hebt supply chain risico’s!

Omgaan met risico's in de toeleveringsketen

Omgaan met insider threats

Deel deze pagina