SecurityScorecard op basis van onderzoek uitgevoerd door Cyentia Institute dat 98% van de bedrijven die onder de loep is genomen heeft een leveranciersrelatie met een of meer bedrijven waar afgelopen twee jaar een datalek speelde. Wat zegt dat precies?
Keten in kaart brengen
Voor het rapport Close Encounters of the Third (and Fourth) Party Kind (link) heeft Cyentia Institute de data van 235.000 primaire organisaties en meer dan 73.000 leveranciers en producten van derde en vierde partijen bekeken. Op die manier is een langere keten van toeleveranciers in kaart gebracht. Dit verklaart ook direct waarom de score zo enorm hoog is. Zelfs al die je zaken met een leverancier die alles voor elkaar heeft, de kans dat bij de partijen waar hij weer zaken mee doet alles goed geregeld is neemt helaas alleen maar af naarmate er meer partijen zijn. Meer partijen betekent dat de keten breder en langer wordt. Langer want elke partij die iets levert heeft zelf ook weer leveranciers.
Bekende derden
Bij “third party” gaat het nadrukkelijk niet alleen om iemand het leveren van fysieke componenten. Leveranciers in deze categorie die bijna door iedereen worden gebruikt zijn Google Analytics, Google Tag Manager, Amazon Web Hosting, PHP en Facebook. Zoals bekend komen ook daar datalekken op grote schaal omdat de inloggegevens van klanten ontvreemd worden.
Aantal landen in keten
Ook bijzonder is het aantal landen waarmee men (in-) direct zaken doet. Uitschieters waren bedrijven waarvan de derden over meer dan 20 landen zijn verspreid. 14 procent is afhankelijk van derden in tien of meer landen, 59 procent houdt het op minder dan vijf landen.
De opsomming van cijfers spreekt voor zich. Het is voor tal van bedrijven praktisch onmogelijk goed zicht over de hele keten te hebben en daarmee de integriteit van data. Een kortere keten kan helpen dat te verbeteren, maar zodra de landsgrens wordt gepasseerd nemen vanzelf de problemen weer toe.
Het rapport heeft de Amerikaanse markt als focus. In de EU is er dankzij de AVG en straks NIS-2 iets meer grensoverschrijdend toezicht mogelijk. Desalniettemin is een deel van de problemen die SecurityScorecard en Cyentia Institute noemen ook hier aan de orde. Wat je plek in de keten ook mag zijn, het is onmogelijk dat er nergens een datalek voorkomt. Wat daar de consequenties van moeten zijn, zegt het onderzoek niet.