De supply chain is de nieuwe frontlinie in cybersecurity. Terwijl organisaties hun eigen systemen steeds beter beveiligen, blijven leveranciers, partners en schaduw leveranciers vaak onzichtbare risico’s vormen. De Cyberbeveiligingswet – implementatie van de Europese NIS2-richtlijn – maakt organisaties expliciet verantwoordelijk voor deze keten afhankelijkheden.
Hoe creëer je overzicht in een steeds complexer wordend netwerk, waar een aanval op de zwakste schakel de hele keten kan ontwrichten? ’Risico’s stoppen niet bij de grenzen van je eigen organisatie’, zegt Marcel Knippen, oprichter en CEO van RiskStudio. Volgens hem kijken bedrijven traditioneel vooral naar hun eigen beveiliging, terwijl aanvallen steeds vaker via leveranciers verlopen. ’Het aantal supply chain-aanvallen is de afgelopen jaren explosief gegroeid. Bij bijna een derde van de incidenten ligt de oorzaak inmiddels ergens in de keten.
Digitale afhankelijkheden
Knippen stelt dat veel organisaties onderschatten hoe groot hun digitale ecosysteem werkelijk is. ’Je denkt misschien dat je zakendoet met één leverancier, maar daarachter zitten vaak weer tientallen andere partijen. Denk hierbij aan mailproviders, cloudleveranciers en betalingsdienstverleners — alles is met elkaar verbonden. ’Dat netwerk van afhankelijkheden in je supply chain brengt RiskStudio visueel in kaart en dat noemen we een digital twin’. Het platform bouwt als het ware een digitale kopie van een organisatie en haar ketenpartners. Leveranciers worden gekoppeld aan afdelingen, processen en zogenoemde kroonjuwelen, de bedrijfskritische onderdelen van een organisatie.
Outside-in-benadering
De aanpak van RiskStudio verschilt van traditionele complianceprocessen. Waar organisaties vaak werken met vragenlijsten, audits en jaarlijkse beoordelingen, gebruikt het platform een zogenoemde outside-inbenadering. Daarbij worden organisaties continu extern gemonitord op signalen rondom kwetsbaarheden, datalekken, configuratiefouten en gelekte gegevens. ’Bij klassieke compliance ga je ervan uit dat alles veilig is als de administratie klopt’, zegt Knippen. ’Maar uiteindelijk draait het om de praktijk: zijn systemen goed ingesteld, staan partijen op blacklists, zijn er signalen van incidenten?’ Via geautomatiseerde analyses verzamelt het platform informatie uit publieke bronnen, dreigingsinformatie, nieuwsberichten en technische scans. ’Dagelijks controleren we leveranciers op cyberhygiëne en veranderingen in hun risicoprofiel. In cybersecurity is een jaarlijkse audit eigenlijk een eeuwigheid.
Wet maakt het concreet
De spoedige bekrachtiging van de Nederlandse Cyberbeveiligingswet versnelt de aandacht voor supply chain security. Organisaties worden verplicht om ook risico’s bij leveranciers actief te beheersen en daarover verantwoording af te leggen. Knippen vertelt dat het onderwerp inmiddels nadrukkelijk leeft in bestuurskamers. ’Het voelt voor veel organisaties nog als een verplichting, maar geopolitieke ontwikkelingen maken het ineens heel concreet.’ RiskStudio ziet vooral groeiende interesse vanuit overheden, zorginstellingen, financiële organisaties en gemeenten.
Praktisch beginnen
Een belangrijk uitgangspunt van RiskStudio is dat organisaties klein moeten kunnen beginnen. ’Veel bedrijven zien de omvang van het probleem, maar weten niet waar ze moeten starten. Daarom ontwikkelden we een methode waarbij organisaties in korte tijd hun belangrijkste leveranciers in kaart kunnen brengen. Ook als je niet weet met wie je allemaal te maken hebt, kun je binnen een uur een eerste overzicht opbouwen. Daarna stroomt de informatie live binnen.’ Dat inzicht helpt organisaties om prioriteiten te stellen. Niet iedere leverancier vormt immers hetzelfde risico. ’Je kijkt naar signalen en ziet meteen hoe kritisch deze partij is voor jouw bedrijfsproces. Pas dan kun je gericht handelen.’ Volgens Knippen vormt dat uiteindelijk de kern van moderne ketenbeveiliging. ’De financiële kredietwaardigheid van leveranciers controleren we al jaren. Waarom zouden we hun cyberwaardigheid dan niet controleren?’
