Organisaties kunnen uitgerust zijn met de meest geavanceerde dreigingsdetectie- en perimetersecuritysystemen ter wereld, maar dat maakt niet uit als de dataleveranciers waar zij mee samenwerken relatief zwakke dreigingsdetectietools hebben met betrekking tot cybersecurity. Vendors en externe partners vormen een potentiële zwakke schakel in de data supply chain. Het is essentieel dat organisaties de leveranciers goed doorlichten. Hoe geavanceerd de dreigingsdetectie- en perimetersecuritysystemen ook zijn, als de systemen van de dataleveranciers over zwakke cybersecuritytools beschikken, dan is het dweilen met de kraan open.
De zwakste schakel
Zowel grote als middelgrote organisaties investeren meestal veel in cybersecurityoplossingen. De leveranciers waar zij vaak mee samenwerken zijn meestal kleinere organisaties. Zij beschikken niet altijd over de middelen om net zoveel te investeren in cybersecurity en dezelfde securitynormen te handhaven als hun partners.
Toch speelt de grootte van de organisatie niet de hoofdrol. Vaak heeft de sector ook grote invloed op hoe een bedrijf cybersecurity regelt. Zo zijn academische instellingen en andere onderzoeksfaciliteiten erg kwetsbaar. Ze beschikken regelmatig beschikken ze over veel waardevolle data, bijvoorbeeld onderzoeksgegevens over satelliettechnologie of nucleair onderzoek, of andere data die beschikken over nationale en militaire implicaties. Ondanks deze waardevolle data en het hoge niveau van kwetsbaarheid, voldoen ze meestal niet aan de juiste securitynormen van overheidsinstellingen en ministeries. Dit maakt academische instellingen een zwakke schakel, vergeleken met overheidsinstellingen en ministeries. Dreigingsactoren zijn zich namelijk ook bewust van de zwakte van deze instellingen.
Controleer derde partijen
Partners en vendors vormen een extra datarisico, maar het uitsluiten van deze partijen is niet reëel. Zeker niet als partijen afhankelijk van elkaar zijn. Het isoleren van een organisatie, wat vergelijkbaar is met analoog gaan om de digitale connectiviteit van dreigingsactoren te beperken, is daarbij verre van realistisch. De wereld is nu eenmaal digitaal, maar dat neemt niet weg dat er geen securitymaatregelen kunnen worden genomen.
Voor het beperken van de risico’s is het belangrijk dat organisaties partners en leveranciers doorlichten. Een risk assessment omvat een aantal tactieken, zoals kwetsbaarheden identificeren op basis van een automatische externe scan. Onderzoek op het dark web, om te bepalen of er associaties zijn met dreigingsactoren en zelfs het sturen van een auditor ter plaatse, zijn ook mogelijkheden tot het onderzoeken van potentiële zwaktes en onregelmatigheden.
Risicobeperking gaat verder dan het doorlichten van partners. Zo houdt het ook in dat je voorbij de dynamiek van derden moet kijken. Het gaat om het erkennen van de realiteit van het moderne ecosysteem, zoals partners en leveranciers die clouddiensten gebruiken en weer samenwerken met andere externe partijen en diensten. Een bedrijf kan bijvoorbeeld een CRM-leverancier gebruiken, maar daar houdt de blootstelling niet op, want de dienst draait vaak op een grote cloudprovider. Hoewel dit niet betekent dat je CRM-diensten, of andere platforms die afhankelijk zijn van de cloud, moet vermijden, komt het er wel op neer dat een bedrijf moet streven naar een uitgebreider perspectief van hun blootstelling aan derde partijen.
De rol van de menselijke factor
De rol van de menselijke factor bij datalekken wordt nog steeds veel overschat. Het 2024 Data Breach Investigations Report (DBIR) toont aan dat 68% van de inbreuken veroorzaakt wordt door niet-opzettelijke menselijke fouten. Voorbeelden zijn interne fouten zoals een verkeerde levering, of slachtoffer worden van social engineering zoals phishing en pretexting. Een effectieve manier voor het bestrijden van cyberaanvallen is het opleiden van personeel. Dit wordt ijvoorbeeld gedaan met best practices op het gebied van cybersecurity, inclusief het herkennen van de meest voorkomende social engineering-aanvallen. Dit geldt voor zowel organisaties, als leveranciers en partners.
Maak ook het belang van cybersecurity duidelijk aan partners en leveranciers, bijvoorbeeld door het opnemen van een audit in het selectieproces. Door het prioriteren van cybersecurity in het proces is de kans groter dat leveranciers hun contractuele verplichtingen nakomen. Daarnaast zorgt een groter bewustzijn rondom cybersecurity er hoogstwaarschijnlijk voor dat incidenten en inbreuken, met betrekking tot het menselijke element, verminderen. De verantwoordelijkheid voor cybersecurity is essentieel, zowel voor de werknemers als voor de partners van een organisatie.
Beperk blootstelling
Het doel van cybersecurity is om het risico op datalekken zo veel mogelijk te beperken. Een belangrijk onderdeel van dit proces is kennis. Het is essentieel om een duidelijk beeld te hebben over de positie van de organisatie binnen de dataketen. Wanneer een organisatie een volledig beeld heeft van zowel de eigen kwetsbaarheden als die van de partners en/of leveranciers, dan bevindt het bedrijf zich in de beste positie om inkomende cyberaanvallen de baas te zijn.
Alistair Neil, EMEA Senior Director of Security bij Verizon Business
