SecurityScorecard op basis van onderzoek uitgevoerd door Cyentia Institute dat 98% van de bedrijven die onder de loep is genomen heeft een leveranciersrelatie met een of meer bedrijven waar afgelopen twee jaar een datalek speelde. Wat zegt dat precies?
Keten in kaart brengen
Bekende derden
Bij “third party” gaat het nadrukkelijk niet alleen om iemand het leveren van fysieke componenten. Leveranciers in deze categorie die bijna door iedereen worden gebruikt zijn Google Analytics, Google Tag Manager, Amazon Web Hosting, PHP en Facebook. Zoals bekend komen ook daar datalekken op grote schaal omdat de inloggegevens van klanten ontvreemd worden.
Aantal landen in keten
Ook bijzonder is het aantal landen waarmee men (in-) direct zaken doet. Uitschieters waren bedrijven waarvan de derden over meer dan 20 landen zijn verspreid. 14 procent is afhankelijk van derden in tien of meer landen, 59 procent houdt het op minder dan vijf landen.
De opsomming van cijfers spreekt voor zich. Het is voor tal van bedrijven praktisch onmogelijk goed zicht over de hele keten te hebben en daarmee de integriteit van data. Een kortere keten kan helpen dat te verbeteren, maar zodra de landsgrens wordt gepasseerd nemen vanzelf de problemen weer toe.
Het rapport heeft de Amerikaanse markt als focus. In de EU is er dankzij de AVG en straks NIS-2 iets meer grensoverschrijdend toezicht mogelijk. Desalniettemin is een deel van de problemen die SecurityScorecard en Cyentia Institute noemen ook hier aan de orde. Wat je plek in de keten ook mag zijn, het is onmogelijk dat er nergens een datalek voorkomt. Wat daar de consequenties van moeten zijn, zegt het onderzoek niet.