Veel bedrijven vinden het lastig om hun supply chain end-to-end te beheren. Vaak is het al ingewikkeld genoeg om de eigen IT-assets onder controle te krijgen. Het is logisch dat je je ook zorgen maakt over de vraag of je onderaannemers hun zaakjes wel op orde hebben. En op hun beurt moeten je onderaannemers vertrouwen hebben in de partijen waar zij weer mee samenwerken. Goede zichtbaarheid op alle IT-assets in de gehele keten is de enige oplossing. Maar hoe krijg je dat voor elkaar?
CISO’s en CEO’s slaken een zucht van verlichting wanneer een inbreuk op de cybersecurity een ander bedrijf treft en niet hun organisatie. “Oef, weer de dans ontsprongen!”. De opluchting kan van korte duur zijn, want hacks en ransomware-aanvallen volgen elkaar in een moordend tempo op. Bovendien ben je misschien wel kwetsbaarder dan je denkt – bijvoorbeeld door onzorgvuldigheid van de partners waar je mee samenwerkt. Veel bedrijven weten immers nauwelijks hoe het gesteld is met de security-aanpak en de cyberhygiëne van hun zakelijke partners.
Ga maar eens na met welke derde partijen je allemaal relaties onderhoudt voor je IT: hoeveel verschillende SaaS-pakketten gebruikt u? Welke consultants leveren diensten bij jou? Wie verwerkt je data? Met hoeveel externe API’s werkt je IT-afdeling? Besteed je wel eens softwareontwikkeling uit? Bij hoeveel bedrijven bestel je hardware? Een kwetsbaarheid bij slechts één van deze bedrijven kan ook je bedrijf in de problemen brengen. Dat heeft het befaamde SolarWinds-incident wel bewezen.
Wanneer bedrijven onderzoek doen bij hun partners, gebeurt dit al te vaak nadat er een incident heeft plaatsgevonden. Dan blijft het bovendien vaak bij één audit en niet om periodieke checks. Het antwoord op de vraag “Had je de geïnfecteerde versie van SolarWinds draaien in jouw omgeving?” spreekt alleen over het verleden, en zegt weinig over het veiligheidsbeleid van deze partner. En al helemaal niets over hun mogelijk verweer tegen een volgend incident. Je weet immers niet of ze een nieuwe leverancier goed screenen wanneer ze die onboarden, en nog minder of ze die leverancier op periodieke basis blijven doorlichten.
Zichtbaarheid is het sleutelwoord
Zelfs bedrijven die een zekere mate van volwassenheid hebben op het vlak van cyberbeveiliging worstelen met dit probleem. Iedere onderneming moet zich dezelfde vragen stellen: wie zijn onze leveranciers, hoe gebruiken ze onze data, hoe zorgvuldig gaan ze om met hun hardware en software?
Een eerste stap is deze inventaris bij jezelf maken: welke IT-assets hebben we allemaal in het bedrijf? Wat draait er zoal op onze hardware? Hoe afhankelijk zijn we van derde partijen? Helaas hebben veel bedrijven zelfs op deze simpele vragen geen antwoord. Wereldwijd onderzoek van Tanium wees uit dat 94% van de IT-managers regelmatig endpoints ontdekken waarvan ze niet wisten dat ze zich in hun netwerk bevonden.
Dezelfde zichtbaarheid op je eigen hardware en software moet je ook uitbreiden naar je leveranciers. Ook zij moeten een uitgebreide en accurate inventaris kunnen voorleggen van al hun endpoints en welke softwareversies daarop geïnstalleerd zijn. Bovendien moeten ze aantonen in staat te zijn al deze endpoints te patchen zodra een update beschikbaar is. Het stopt echter niet bij deze inventaris. Een onderaannemer moet ook kunnen aangeven wat hun aanpak is inzake threat modeling, veilige softwareontwikkeling, hun beveiligingsarchitectuur… De bepalingen van de ISO 27001-norm zijn in dat opzicht een goede handleiding om te weten wat je allemaal moet vragen aan je onderaannemers. En dat is niet weinig.
Stap voor stap naar een veilige omgeving
Naast het maken en laten maken van deze inventaris is het een goed idee om een minimale set eisen te definiëren en deze op te nemen in contracten. Door dit te doen, bouw je een consistenter, op data gebaseerd alternatief voor de arbitraire spreadsheets die bedrijven nu vaak gebruiken.
Hier zijn nog enkele andere manieren om je supply chain te beschermen:
- Betrek beveiligings- en risicoteams zo vroeg mogelijk bij het due diligence-proces voor nieuwe leveranciers. Maak de vereisten die je stelt afhankelijk van hoe kritiek en gevoelig de geleverde diensten zijn.
- Voer periodieke beveiligingscertificeringen uit en stem deze inspanningen af op het bedrijfskritische karakter van de geleverde diensten.
- Voer uitgebreide dreigingsmodellen en risicoanalyses uit om beter te begrijpen wie je belangrijkste tegenstanders zijn, waar ze kunnen toeslaan en hoe.
- Zorg ervoor dat je leveranciers een duidelijk proces hebben voor het melden van inbreuken.
- Vraag meer info over hoe je leveranciers hun softwareontwikkelproces beveiligen: hoe worden hun ontwikkelaars opgeleid en gecertificeerd in applicatiebeveiliging? Wat zijn hun processen voor statische en dynamische analyse?
Je supply chain beveiligen is een complexe oefening, die discipline en doorzettingsvermogen vereist. Door zoveel mogelijk van de stappen te volgen die hierboven beschreven zijn, ben je in staat een aantal belangrijke stappen te zetten. En verkleint je alvast de kans dat je bedrijf negatief in het nieuws komt.
Dit is een ingezonden bijdrage van Wytze Rijkmans, Regional Vice President van Tanium. Voor meer informatie over de diensten van het bedrijf kan je hier terecht.