Cyberketenweerbaarheid
News 11 februari 2021

Rapport: Waarom cyberweerbaarheid in de keten meer aandacht verdient

De Haagse Hogeschool heeft een onderzoeksrapport gepubliceerd dat precies in ons straatje ligt, dus dat delen we graag. De insteek is namelijk cyberweerbaarheid in de keten, waarmee niet één maar twee kernwoorden van de missie van FERM worden aangehaald. Om de overheid te adviseren in de ontwikkeling en uitvoering van beleid, vroegen het Ministerie van Justitie en Veiligheid en MKB-Nederland aan De Haagse Hogeschool om onderzoek te doen naar het fenomeen cyber-ketenweerbaarheid. We delen de voornaamste bevindingen, en uiteraard de link naar het volledige rapport.

Hoe kunnen ketens zich weerbaar maken tegen cyberdreigingen?

Producent, leverancier of afnemer: bijna elk bedrijf maakt deel uit van een keten. Dat hoeven we organisaties in de Rotterdamse Haven te vertellen. Ook het feit dat deze ketens steeds afhankelijker worden van ICT mag geen nieuws heten. Deze afhankelijkheid maakt dat cybergerelateerde risico’s een opmars kunnen maken. 

Er is tegelijkertijd nog weinig bekend over deze risico’s en hoe ketens daar weerbaar tegen kunnen worden gemaakt. Een week geleden publiceerden we daarom al alarmerende uitkomsten van een cybersecurity onderzoek voor het logistieke havenbedrijfsleven. Ruim 30 procent van de logistieke bedrijven in de haven van Rotterdam heeft cybersecurity niet of nauwelijks op de agenda staan. Je leest er hier meer over.

De doelstelling van het onderzoek van de Haagse Hogeschool: meer inzicht verkrijgen in het fenomeen cyber-ketenweerbaarheid in verschillende economische sectoren om daarmee de overheid te ondersteunen in advisering en ontwikkeling van beleid. De onderzoeksvragen, methode van werken en de voornaamste conclusies delen we hieronder, met dank aan de 1-page factsheet van het rapport. We raden je echter aan om het volledige rapport eens door te nemen. Dat vind je via deze link op de website van de Haagse Hogeschool.

Onderzoeksvragen

  1. Welke cyberspecifieke dreigingen ontstaan bij ketens en welke kwetsbaarheden spelen daarbij een rol?
     
  2. Wat zijn geleerde lessen bij het voorkomen en bestrijden van cyberincidenten gerelateerd aan het opereren in een keten?

Deze onderzoeksvragen zijn beantwoord aan de hand van literatuuronderzoek en interviews. De interviews zijn uitgevoerd bij in totaal 12 bedrijven uit drie economische sectoren: agrarisch, sierteelt en handel. De bedrijven zijn binnen hun sector geschakeld (als afnemer en leverancier) en vormen daarmee een keten.

Conclusies

  • Ketens hebben last van specifieke dreigingen en kwetsbaarheden. Met name ransomware en stepping stone-aanvallen zijn een dreiging. Een belangrijke kwetsbaarheid is technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen.
     
  • Maatregelen gericht op de keten worden slechts sporadisch genomen. Cyberveiligheid is veelal geen onderwerp in contracten met leveranciers, (structureel) overleg tussen partners op cybersecurity gebied blijft uit en informatiedeling over cyberrisico’s en geleerde lessen op ketenniveau is beperkt.
     
  • De ene keten is de andere niet. Verschillen in genoemde dreigingen, kwetsbaarheden en geleerde lessen tussen bedrijven zijn te verklaren door het type bedrijf en diens omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven zicht te hebben in en te handelen op keten-gerelateerde dreigingen en kwetsbaarheden.
     
  • Hulp is nodig. Ketens kunnen hulp gebruiken met het op orde brengen van de cyberveiligheid van de individuele partners, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau.

Het gehele onderzoeksrapport vind je via deze link.