Cyberaanval via leverancier vormt nieuwe bedreiging voor bedrijven
'Hackers vallen bedrijven steeds vaker digitaal aan via leveranciers en andere bedrijven waar ze zaken mee doen', schreef Het Financieele Dagblad onlangs. Deskundigen waarschuwen hiervoor in de nasleep van een cyberaanval op het Amerikaanse bedrijf SolarWinds. Hackers kregen vorig jaar toegang tot systemen van deze softwareleverancier, waarna zeker 18 duizend klanten werden besmet, waaronder Microsoft en het Amerikaanse Ministerie van Defensie.
Dit is het topje van de ijsberg, want bedrijven bestaan uit ketens van verschillende producten of diensten van uiteenlopende leveranciers. Door deze complexe ketens is het lastig te bepalen waar je als organisatie op moet focussen als het gaat om cybersecurity. Het inrichten van een Cyber Security Management Systeem biedt grip op de complexiteit van cybersecurity.
Er is niet één oplossing waarmee je ervoor kunt zorgen dat systemen of organisaties waterdicht zijn beveiligd tegen cyberaanvallen. Dit komt omdat onze huidige systemen een samensmelting zijn van verschillende 'onderdelen' zoals soft- en hardware en andere diensten. Om houvast te krijgen is het daarom vanzelfsprekend dat organisaties steeds vaker openheid eisen van (externe) leveranciers.
Maar dat is niet genoeg. Je kunt, en móet eigenlijk, meer doen om cybersecurity goed in te richten. Eén van de belangrijkste wapens die organisaties kunnen gebruiken tegen cybergevaren is het toepassen van een Cyber Security Management Systeem (CSMS). Zo’n systeem is in essentie een blauwdruk voor organisaties die een zo compleet mogelijke cybersecurity-strategie willen opstellen.
De IEC 62443-standaard reikt handvatten aan voor de specifieke keuzes die je maakt bij de inrichting van een CSMS. Hieraan ligt een logische volgorde ten grondslag. Het begint met een risicoanalyse. De volgende stappen zijn het definiëren van hoe je die risico’s structureel gaat aanpakken en het vervolgens integreren daarvan in het CSMS. Dit helpt organisaties hun eigen CSMS in te richten op basis van factoren die zij belangrijk vinden en leveranciers hierop te toetsen. Zo kunnen organisaties continu, waar nodig, maatregelen nemen om het risico op cyberaanvallen zo klein mogelijk te houden.
Santosh Sharman
Product Manager IoT Security
Kiwa.
Bron: ANP Support
