Enisa adviseerde het al, nu volgt NIST: let meer op de supply chain

Het Amerikaanse NIST heeft een document online gezet waarin met de oproep meer en beter te kijken naar de supply chain. Daarmee wil men de impact van cybercrime beter kunnen indammen en vooraf sneller herkennen. Enisa heeft vorig jaar al een rapport met de zelfde strekking uitgebracht. De Britten kwamen recent met een eigen versie, een update waarin met name voor Russische componenten en services werd gewaarschuwd.

Scope eigen processen en operaties

Het bedrijfsleven en overheidsdiensten zijn gewend naar de eigen processen en operaties te kijken als het om veiligheid gaat. Jarenlang was dat ook de beste methode ongewenste activiteiten te voorkomen. Nu alles en iedereen met elkaar connected is dringt door dat daarmee niet alleen de snelheid van communicatie en productie omhoog gaat. Het verspreiden van bedreigingen is veel makkelijker geworden.

Zwakke schakels

Aanvallers die uit zijn op digitale informatie, sabotage of destructie richten de pijlen steeds meer op de zwakste schakel, ook als dat niet het echte doel is. Vanaf die positie in een netwerk wordt dan zonder tijdsdruk en vooral zo onopvallend mogelijk de route naar het uiteindelijke doel ingezet. Die zwakste schakel heette vroeger altijd een interne afdeling van het doelwit te zijn. Inmiddels weten we dat toeleveranciers dat zijn. Het aantal is groot en zij zijn in nagenoeg alle gevallen zelf ook weer onderdeel van een andere keten met nog zwakkere schakels.

Rating systeem

De keten waar je deel van uit maakt controleren is makkelijker gezegd dan gedaan. Enisa geeft voorbeeld van hoe dat kan en waar het fout is gegaan. NIST lijkt voor een andere benadering te kiezen. In “Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (C-SCRM)” wordt de suggestie gedaan met een rating systeem te werken. Op die manier kan van elke component, dienst, toeleverancier en klant vooraf worden bepaald hoe groot de kans is dat langs die route de eigen organisatie kan worden bedreigd. Een dergelijk systeem klinkt als arbeidsintensief en iedereen begrijpt dat de score maar voor een beperkte tijd zal gelden. Toch is er ook wat voor te zeggen met deze methodiek te werken. NIST geeft een advies. Het opvolgen daarvan brengt de verplichting met zich mee de hele supply chain in kaart te brengen. Dat is geen eenmalige excercitie, daarna zijn de veranderingen bij te houden. Dat daarmee digitale en andere risico’s verkleinen is wel duidelijk.

Wie neemt dat over?

Interessanter is de vraag die nog niet hardop is gesteld. Wat nou als dit advies over het in kaart brengen van de supply chain wordt overgenomen door verzekeraars of accountants?