This TNO paper provides insight into the growing importance of cybersecurity in the supply chain and offers a handling perspective for companies that want to make themselves more resilient. Improving cyber resilience not only helps an organization to mitigate its security risk but also reduces the potential impact for others within the supply chain. In today’s networked digital infrastructures, it is no longer enough to ensure the security of one’s own IT networks and systems. Incidents elsewhere in the chain can have an immense impact as they trickle down. Suppliers, vendors, contractors, and other third parties have become part of the security risk area. Meanwhile, hostile hackers no longer require to actually gain access to their main target to get to their end goal. Supply chains have essentially become supply networks. And while the challenges for protecting an organization continue to rise, the connectivity offers a learning opportunity and potential cost savings as well. For companies that have already been attacked, it is worth sharing their experiences and best practices. Those who haven’t would be wise to learn from others, because it’s improving their security posture as well as the supply network that they’re part of.
Deze paper heeft tot doel inzicht te bieden in het groeiende probleem van cybercrime in de supply chain en tevens handvatten aan te reiken voor bedrijven die zichzelf op dit terrein weerbaarder willen maken. Daarbij is het essentieel vast te stellen dat de verantwoordelijkheid van elke onderneming hier verder reikt dan we voorheen veronderstelden: een goed functionerende cyberweer baarheid helpt niet alleen de eigen organisatie, maar ook die van andere spelers binnen de supply chain. In de netwerken van organisaties en hun keten van (toe)leveranciers is het niet meer voldoende om de veiligheid van onze eigen IT-systemen te waarborgen. Om een cyberdreiging buiten de deur te houden moet je ook rekening houden met een aanval elders in de keten of het netwerk. Toeleveranciers zijn een minstens zo groot aandachtspunt als vijandige hackers zelf. Daarbij is het voor de aanvallers niet eens meer nodig om daadwerkelijk toegang te krijgen tot het hoofddoel: omdat bepaalde rechten om productieredenen ondergebracht zijn binnen de supply chain, kan een aanval op de toeleverancier al het gewenste effect hebben. Hoewel de uitdagingen enorm zijn, is het wel degelijk mogelijk voor organisaties om zich voor te bereiden op aanvallen van buiten. Naast alle technische hulpmiddelen is het essentieel de actuele best practices uit de eigen en andere sectoren te bestuderen, juist als er nog geen ervaring is met een vijandige digitale aanval. Een regelmatige check op het informatiebeveiligingsbeleid, de risicomatrix en de aanbevelingen vanuit de interne en externe audit horen tot de kern van de beheersmaatregelen. Voor bedrijven die wél al zijn aangevallen loont het die ervaringen in zo groot mogelijke openheid te delen binnen de sector, eventueel via de organisaties die daartoe in het leven zijn geroepen. Deze paper roept bedrijven die onderdeel zijn van een toeleveringsnetwerk op om altijd drie stappen voor ogen te houden: 1. Angst is een slechte raadgever. Handel daarom vanuit de waarde van technologie voor de organisatie. 2. Kijk niet alleen naar de kantooromgeving, maar ook naar industriële processen en systemen, en naar hard- en software in de producten zelf. 3. Deel ervaringen en best practices in het netwerk van (toe)leveranciers om de stap te maken van ‘awareness to action’.