Steeds vaker moeten bedrijven de beveiligingsstatus van leveranciers, zoals de IT dienstverleners, in hun supply chain kennen. Bij status denken we aan een beoordeling, keurmerk of certificering. Hoe kunnen die worden gebruikt om de security status van alle schakels in de supply chain te beschrijven?
Onderuit door ransomware
Als een bedrijf onderuit gaat door ransomware heeft dat standaard gevolgen voor hele supply chain. Klanten, leveranciers en derde partijen kunnen bijvoorbeeld geen operationele data meer delen of goederen leveren. In het ergste geval zijn zij ook geraakt door die ransomware. Er kan uiteindelijk sprake zijn van wijdverspreide schade, tot honderden kilometers ver weg. Het begrip dat daarbij hoort is cascade-effect.
Een van de manieren om hier het tij te keren is het instellen van Zero Trust. Men zal dan een leverancier of klant standaard niet meer zoals vroeger vertrouwen, ondanks een wellicht langdurige zakelijke relatie. De netwerken blijven zo veel mogelijk voor elkaar gesloten.
Een gevolg van Zero Trust en de directe oorzaken daarvan moet zijn dat de beoordeling van de veiligheid van een leverancier deel gaat uitmaken van het inkoopproces en de dagelijkse omgang met die partij. Die laatste zin is voor de IT dienstverlener extra complex. Hij is namelijk leverancier van zijn klant, maar ook weer afhankelijk van leveranciers, zoals distributeurs of fabrikanten. Om het nog net iets lastiger te maken: hij installeert iets voor zijn klant en zal in de regel ook nog iets van het beheer doen.
Security Ratings als Service
Een van de begrippen die nu vaker wordt genoemd is “Security Ratings as a Service”. Volgens een van de definities (er zijn er meerderen in omloop) zal SRaaS het einde kunnen betekenen voor de momentopnames die ISO 27001 en dergelijke zijn. Men heeft permanent een scorebord in beeld en kan op basis daarvan beslissen of de strikte zero trust regels op dat moment voor de toeleverancier of klant kan worden versoepeld.
Welke sensoren, parameters en indicatoren de data leveren voor de score zal per geval verschillen. De basis zal wel gelijk zijn, maar de te leveren of af te nemen dienst zorgt voor de verschillen. Het idee lijkt sterk op wat in een NOC of SOC nu al aan datastromen op de dashboards voorbijkomt. Zoals bekend is dat altijd heel veel data. Zoveel zelfs dat echt niet iedereen de tijd kan vrijmaken elke melding te verifiëren.
Daar zit dan ook een van de problemen met SRaaS. Het aanzetten daarvan zal het makkelijkst zijn, maar daarna. Wie gaat die data controleren en vertalen naar het aanpassen van de hordes die gelden voor de koppelingen met de partijen in de supply chain.
Er zijn vendoren van SRaaS oplossingen die beweren dat automatisering hier veel gaat helpen. Dat klopt ook. Het probleem is echter dat een supply chain niet alleen bestaat uit techniek, er staan ook commerciële belangen op het spel. Het principe van SRaaS kan werken, maar we weten allemaal dat bij deze keuze van een maximale beveiligingsstatus of meer commerciële voordelen gebruikers iets te vaak naar het laatste kijken. En om het plaatje compleet te maken, de rol van de IT dienstverlener is hier zowel cruciaal als complex.