Enisa adviseerde het al, nu volgt NIST: let meer op de supply chain

Het Amerikaanse NIST heeft een document online gezet waarin met de oproep meer en beter te kijken naar de supply chain. Daarmee wil men de impact van cybercrime beter kunnen indammen en vooraf sneller herkennen. NIST-300300Enisa heeft vorig jaar al een rapport met de zelfde strekking uitgebracht. De Britten kwamen recent met een eigen versie, een update waarin met name voor Russische componenten en services werd gewaarschuwd.

Scope eigen processen en operaties

Het bedrijfsleven en overheidsdiensten zijn gewend naar de eigen processen en operaties te kijken als het om veiligheid gaat. Jarenlang was dat ook de beste methode ongewenste activiteiten te voorkomen. Nu alles en iedereen met elkaar connected is dringt door dat daarmee niet alleen de snelheid van communicatie en productie omhoog gaat. Het verspreiden van bedreigingen is veel makkelijker geworden.

Zwakke schakels

Aanvallers die uit zijn op digitale informatie, sabotage of destructie richten de pijlen steeds meer op de zwakste schakel, ook als dat niet het echte doel is. Vanaf die positie in een netwerk wordt dan zonder tijdsdruk en vooral zo onopvallend mogelijk de route naar het uiteindelijke doel ingezet. Die zwakste schakel heette vroeger altijd een interne afdeling van het doelwit te zijn. Inmiddels weten we dat toeleveranciers dat zijn. Het aantal is groot en zij zijn in nagenoeg alle gevallen zelf ook weer onderdeel van een andere keten met nog zwakkere schakels.

Rating systeem

De keten waar je deel van uit maakt controleren is makkelijker gezegd dan gedaan. Enisa geeft voorbeeld van hoe dat kan en waar het fout is gegaan. NIST lijkt voor een andere benadering te kiezen. In “Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (C-SCRM)” wordt de suggestie gedaan met een rating systeem te werken. Op die manier kan van elke component, dienst, toeleverancier en klant vooraf worden bepaald hoe groot de kans is dat langs die route de eigen organisatie kan worden bedreigd. Een dergelijk systeem klinkt als arbeidsintensief en iedereen begrijpt dat de score maar voor een beperkte tijd zal gelden. Toch is er ook wat voor te zeggen met deze methodiek te werken. NIST geeft een advies. Het opvolgen daarvan brengt de verplichting met zich mee de hele supply chain in kaart te brengen. Dat is geen eenmalige excercitie, daarna zijn de veranderingen bij te houden. Dat daarmee digitale en andere risico’s verkleinen is wel duidelijk.

Wie neemt dat over?

Interessanter is de vraag die nog niet hardop is gesteld. Wat nou als dit advies over het in kaart brengen van de supply chain wordt overgenomen door verzekeraars of accountants?
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
09:30 - 17:00 - Utrecht
09:30 - 17:00 | Utrecht
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein