Waarom je nu op cyberrisico’s in de supply chain moet reageren

Palo Alto Networks

We hebben de afgelopen jaren verschillende prominente voorbeelden gezien waarbij is bewezen dat de supply chain een snelweg voor cyberaanvallen is waardoor zij zich snel over de wereld verspreiden.

Supply chain security

Deze aanvallen hebben aangetoond dat organisaties in deze huidige omgeving niet, zoals 10 of 20 jaar geleden, alleen afhankelijk zijn van het uitwisselen van facturen of informatie met hun leveranciers. Supply chain security wordt steeds meer een hot topic voor security besluitvormers in een wereld van decentralisatie van IT-middelen en een verhoogde connectiviteit. Organisaties zijn veel meer verbonden geraakt en de supply chain omvat real-time gesynchroniseerde productieprocessen. Vanuit het oogpunt van infrastructuur zou het kunnen betekenen dat slechts één gecompromitteerde computer van een leverancier in de supply chain een systematische bedreiging vormt voor jouw hele bedrijf. Helaas is dit nog steeds waar in een scenario met een plat netwerktype waarin de infrastructuur binnen jouw omgeving niet wordt gesegmenteerd en openlijk verbonden is met de infrastructuur van jouw leveranciers. Volgens onze recente IoT-studie is 30% van de Nederlandse besluitvormers micro-segmenterend in de IoT-ruimte. Deze apparaten blijven dan in hun eigen gecontroleerde beveiligingszone, wat ook in de supply chain zou moeten gebeuren.

Operationele veerkracht en Zero Trust

Om jouw supply chain beter te kunnen begrijpen, is het belangrijk om te kijken naar het samenspel van alle bedrijfsrisico’s in alle segmenten van de supply chain. Niet alleen kijkend naar datgeen wat mensen, processen en technologie met zich meebrengen, maar ook naar risicodimensies zoals cybersecurity en fysiek risico. Een raamwerk dat naar al deze aspecten kijkt, is operationele veerkracht. Dit raamwerk geeft organisaties de mogelijkheid om schokken op te vangen en zich eraan aan te passen, in plaats van eraan bij te dragen. Door vanuit alle verschillende richtingen en alle segmenten naar de uitgebreide onderneming te kijken, worden impacttoleranties vastgesteld. Deze kijken naar de mogelijkheid van ernstige, plausibele gebeurtenissen en geven inzicht in hoelang een zakelijke service kan worden beïnvloed en op welke manier voordat er buitensporige schade wordt toegebracht aan het bedrijf, de klant of de markt als geheel.

Om operationele veerkracht mogelijk te maken en alle potentiële risico’s in jouw bedrijf te identificeren, heb je een doorlopend proces nodig vanuit een supply chain-perspectief om te valideren en zichtbaar te maken wat met elkaar moet verbinden en op welke manier. Dit biedt een criterium om te beoordelen of, waarom en hoe toegang moet worden verleend. Dergelijke toegang moet worden verleend op een ‘need-to-use’ basis, in plaats van veel meer open toegang, wat maar al te vaak het geval is vanwege het verlangen naar gebruiksgemak. Wanneer je volledig zicht hebt op jouw supply chain, weet je wie wat moet kunnen gebruiken, wat zich vertaalt in een zero-trust mentaliteit. Zero trust betekent fundamenteel alleen het vereiste toegangsniveau geven en niet aannemen dat de verbinding in orde is, alleen omdat je de bron kent. Het gaat erom de communicatie te verifiëren alsof ze niet vertrouwd zijn en natuurlijk de activiteiten vast te leggen om achteraf een analyse mogelijk te maken als er problemen worden gemeld.

Wat kunnen organisaties doen?

Dus operationele veerkracht en zero trust zijn benaderingen om jouw supply chain beter te begrijpen, maar waar begin je? Ik adviseer de volgende stappen:

• Een goede benadering om de beveiligingsvolwassenheid van een leverancier in je supply chain te begrijpen, is om door de industrie geaccepteerde certificeringen te vragen. De meest voorkomende certificeringen in de cybersecurity-industrie zijn SOC 2 en ISO 27001. Certificering geeft je echter slechts een indicatie als de leveranciers cybersecurity begrijpen en serieus nemen.
• Ontkoppel de cyberrisico’s van de leverancier van jouw interne risico’s. Dit kan worden gedaan door het concept van zero trust te volgen en specifiek te focussen op concepten met de minste bevoegdheden en de minste toegang.

Als je de supply chain-omgeving verbindt met het principe van zero trust, is het belangrijk om die principes vanaf het begin in te stellen. Als je een omgeving krijgt, zorg dan voor zichtbaarheid in verbindingen met jouw supply chain-omgeving om netwerk gebaseerd beleid op te stellen voor granulaire toegang. Tegenwoordig kan dit eenvoudig worden gedaan met op Machine Learning gebaseerde Next Generation Firewall. Uiteindelijk moet je zorgen voor continue zichtbaarheid van jouw omgeving om mogelijke veranderingen of beveiligingsbedreigingen op te sporen.

• Maak gebruik van externe intelligentie om de risicoprofielen en het aanvalsoppervlak van jouw leveranciers binnen je supply chain vanuit een extern oogpunt te beoordelen. Dit kan worden gedaan met continue niet-invasieve scans die worden uitgevoerd door verschillende beveiligingsleveranciers. Het nemen van de standpunten van hackers is soms handiger om het risicoprofiel van een leverancier te begrijpen dan het verwerken van tonnen aan documentatie.

Uiteindelijk leven we in een hyperverbonden wereld en het is een must om ervoor te zorgen dat zowel onze leveranciers binnen de supply chain als onze eigen bedrijven worden beschermd op cybersecurityniveau.