begeleiding van de toeleveringsketen door mondiale cyberveiligheidsinstanties

Internationale cyberagentschappen geven richtlijnen voor de toeleveringsketen na de recente piek in cyberaanvallen

Vorige maand hebben bestuursorganen voor cyberveiligheid uit de VS, het VK, Australië, Canada en Nieuw-Zeeland, als onderdeel van een gezamenlijk advies, een besluit uitgebracht officiële richtlijnen voor cyberveiligheid in de toeleveringsketen om organisaties te helpen hun informatie en gegevens veilig te houden.   

De nieuwe richtlijnen, gericht op het ondersteunen van middelgrote tot grote ondernemingen en bedrijven binnen organisaties die verantwoordelijk zijn voor risico-, informatie- en cyberveiligheidsbeheer, zullen helpen bij het opzetten of verbeteren van organisatorische benaderingen voor het beoordelen van cyberveiligheidsrisico's in de toeleveringsketen. 

Waarom richten cyberagentschappen zich op de beveiliging van de toeleveringsketen?

Compromissen in de toeleveringsketen hebben in ongekende hoeveelheden het nieuws gehaald. De SolarWinds-aanval in 2020 heeft schijnbaar de sluizen geopend, en de inbreuken zullen niet ophouden te komen.  

Alleen al in de afgelopen maand zag MediBank in Australië meer dan 4 miljoen patiëntendossiers gecompromitteerd en online gelekt. Supeo, een leverancier van DSB, het grootste treinnetwerk in Denemarken, kreeg te maken met een inbreuk waardoor treinen fysiek meer dan twee uur lang niet konden rijden. En Chase UK onderging een aanval waardoor hun klanten bijna twee dagen lang geen toegang hadden tot hun bankapp.  

Omdat organisaties afhankelijk zijn van een groeiend aantal leveranciers om producten, systemen en diensten te leveren, neemt het risico dat kwetsbaarheden via deze leveranciers worden geïntroduceerd of uitgebuit aanzienlijk toe. Deze toenemende complexiteit maakt het voor bedrijven moeilijk om te weten hoe veilig hun toeleveringsketen is en of ze over voldoende bescherming beschikken.  

Uiteindelijk kunnen deze cyberaanvallen een verwoestende impact hebben op bedrijven, met dure gevolgen op de lange termijn voor de getroffen organisaties, hun cruciale leveranciers en hun klanten.  

Waarom is supply chain-beveiliging voor bedrijven zo moeilijk aan te pakken?   

Ondanks de goed gedocumenteerde risico’s verliezen veel bedrijven nog steeds hun toeleveringsketens uit het oog. Sterker nog, volgens de Onderzoek naar beveiligingsinbreuken 2022“iets meer dan één op de tien bedrijven beoordeelt de risico’s van hun directe leveranciers (13%), en voor de bredere toeleveringsketen bedraagt ​​dit percentage de helft (7%).” 

De cyberrisico’s die gepaard gaan met een supply chain-aanval zijn nog nooit zo groot geweest; Aanvallers ontwikkelen aanvalsmethoden en -hulpmiddelen in een steeds alarmerend tempo. Maar ondanks het groeiende publieke bewustzijn van de bedreigingen en het toegenomen toezicht door de toezichthouders, houden bedrijven geen gelijke tred.  

Volgens het Nationaal Cyber ​​Security Centrum (NCSC) zijn er, hoewel veel organisaties begrijpen dat hun toeleveringsketen zorgwekkend is, nog steeds sprake van:  

  • gebrek aan investeringen om zich tegen dit cyberrisico te beschermen 
  • beperkt inzicht in toeleveringsketens 
  • onvoldoende tools en expertise om de cyberveiligheid van leveranciers te beoordelen 
  • gebrek aan duidelijkheid over wat u van uw leveranciers moet vragen

Deze problemen zorgen ervoor dat toeleveringsketens bloot komen te liggen en het risico lopen te worden uitgebuit door cybercriminelen.   

Praktische stappen voor organisaties om hun supply chain te beveiligen 

De richtlijnen van de cyberoverheidsinstanties verdelen de beste aanpak in vijf belangrijke stappen: 

  1. Begrijp waarom uw organisatie zich zorgen moet maken over supply chain-beveiliging 

 Organisaties moeten begrijpen wat bescherming nodig heeft binnen hun ecosysteem en waarom dit moet worden beveiligd om betekenisvolle controle over de toeleveringsketen te verkrijgen.  

Uiteindelijk moet effectieve cyberbeveiliging passen bij uw systemen, uw processen, uw personeel, uw cultuur en het risiconiveau dat u bereid bent te nemen.   

  1. Ontwikkel een aanpak om de veiligheid van de toeleveringsketen te beoordelen 

 Bepaal de kritische aspecten in uw organisatie die u het meest moet beschermen (uw 'kroonjuwelen'), rekening houdend met potentiële bedreigingen, kwetsbaarheden, impact en de risicobereidheid van uw organisatie.  

Maak op basis van de geïdentificeerde kernaspecten van uw organisatie een aantal gelaagde beveiligingsprofielen voor leveranciers. Elk profiel moet een steeds grotere impact vertegenwoordigen en wijs deze vervolgens toe aan elk van uw leveranciers.  

  1. Pas de aanpak toe op gesprekken met nieuwe leveranciers 

Integreer nieuwe beveiligingspraktijken gedurende de gehele contractlevenscyclus van nieuwe leveranciers, van inkoop en leveranciersselectie tot contractafsluiting.   

Dit proces moet ook leiden tot een beter veiligheidsbewustzijn onder uw personeel en een cultuur creëren van voortdurende monitoring van de naleving van de beveiligings- en informatiebeheerregels.  

  1. Integreer de aanpak in bestaande leveranciersovereenkomsten

Als er een nieuwe aanpak is afgesproken, kunt u uw bestaande contracten herzien bij verlenging of eerder als het om cruciale leveranciers gaat. 

  1. Continu verbeteren

Als u uw aanpak regelmatig verfijnt wanneer er nieuwe problemen opduiken, verkleint u de kans dat risico's via de toeleveringsketen gevolgen voor uw organisatie hebben.  

Hoe ISO 27001 duurzame supply chain-beveiliging mogelijk kan maken  

ISO 27001 is een internationaal erkende norm voor informatiemanagement, maar het gaat er echt om risicobeheer. En dit is waar de richtlijnen van de NCSC, CISA, FBI, ACSC, CCCS en NZ NCSC steeds op terugkomen. Daarom zal het werken binnen het ISO 27001-framework gedrag en veiligheidsvoordelen opleveren voor elk bedrijf dat zijn cyberveerkracht wil verbeteren. en onderscheidt zich van zijn concurrenten.  

ISO 27001 adviseert bedrijven om een eenvoudig proces voor het onboarden en beheren van leveranciers. Concentreer u in het bijzonder op het volgende:  

  • Bewaring infosec-beleid, procedures en controles up-to-date 
  • Getroffen kritiek behouden Bedrijfsinformatie, systemen en processen 
  • Zorg ervoor dat u alle geïdentificeerde risico's opnieuw beoordeelt en controleer of leveranciers voldoen aan de voortdurende beveiligingsvereisten  

Dat lijkt misschien essentieel, op gezond verstand gebaseerd advies, maar het kan organisaties tijd, geld, reputatieschade en frustratie besparen als het correct wordt geïmplementeerd. Bovendien kan het bereiken van naleving van het ISO 27001-framework een aanzienlijk zakelijk voordeel bieden door uw gecertificeerde beveiligingsreferenties aan huidige en toekomstige klanten te demonstreren. 

Versterk vandaag nog de beveiliging van uw supply chain  

Als u uw reis naar een betere beveiliging van de toeleveringsketen wilt beginnen, kunnen wij u helpen.   

Onze ISMS-oplossing maakt een eenvoudige, veilige en duurzame aanpak van informatiebeheer mogelijk met ISO 27001, NIST en andere raamwerken. Het biedt supply chain-beveiligingsmodules die in de loop van de tijd snel kunnen worden overgenomen, aangepast en toegevoegd om succesvolle cyberbeveiliging en een betere adoptie van veilig gedrag binnen uw organisatie te bereiken. Ontgrendel vandaag nog uw concurrentievoordeel.  

Boek een demo

Auteur

Rebecca Harper

Rebecca is het hoofd contentmarketing van ISMS.online. Met meer dan 12 jaar ervaring in de informatie- en cyberbeveiligingsindustrie, is Rebecca toegewijd aan het opleiden, vergroten van bewustzijn en het empoweren van bedrijven om doelstellingen op het gebied van compliance, informatie en cyberbeveiligingsbeheer te bereiken.

Bekijk alle berichten van Rebecca Harper

gerelateerde berichten

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie