Producent, leverancier of afnemer: bijna elk bedrijf maakt deel uit van een keten. Dat betekent ook dat elkaars ICT-systemen worden gebruikt. Dat brengt risico’s met zich mee. Uit onderzoek door de Haagse Hogeschool blijkt dat met dergelijke risico’s zelden rekening wordt gehouden, waardoor partners elkaar ellende kunnen bezorgen.

Hoe kunnen ketens zich weerbaar maken tegen cyberdreiging? Om de overheid te adviseren in de ontwikkeling en uitvoering van beleid, vroegen het Ministerie van Justitie en Veiligheid en MKB Nederland aan De Haagse Hogeschool onderzoek te doen naar het fenomeen cyber-ketenweerbaarheid.
Welke cyber-specifieke dreigingen ontstaan bij ketens en welke kwetsbaarheden spelen daarbij een rol? Wat zijn geleerde lessen bij het voorkomen en bestrijden van cyberincidenten gerelateerd aan het opereren in een keten? Om deze vragen te beantwoorden, hebben de onderzoekers een aantal bedrijven bekeken uit ketens in de sierteelt-, handels- en agrarische sector.

Ransomware en stepping stone-aanvallen
Binnen ketens blijken organisaties last te hebben van specifieke dreigingen en kwetsbaarheden. Met name ransomware (waarbij gegevens of systemen worden ‘gegijzeld’) en stepping stone-aanvallen (wanneer cybercriminelen proberen via kleinere organisaties toegang tot grotere organisaties te krijgen) vormen een risico. Een belangrijke kwetsbaarheid blijkt technologie die op afstand kan worden bediend via internet door een derde partij, zoals klimaatregelaars en sorteersystemen.

Onvoldoende op de agenda
Een ander struikelblok blijkt een gebrek aan samenwerking tussen ketenpartners. Cyberveiligheid ontbreekt veelal in de contracten tussen leverancier en klant. Informatie-uitwisseling over cyberrisico’s en geleerde lessen binnen ketens is beperkt. Ook (structureel) overleg over cybersecurity tussen partners blijft vaak uit.
De verschillen tussen bedrijven in dreiging, kwetsbaarheid en geleerde lessen zijn te verklaren door het type bedrijf en de omvang, de volwassenheid van de organisatie op ICT-gebied en de positie van een bedrijf in de keten. Zo lijken met name ICT-dienstverleners en grote bedrijven bewust van de dreigingen en kwetsbaarheden.

Hulp is nodig
Ketens kunnen hulp gebruiken met het op orde brengen van de cyberveiligheid van de individuele partners, de cyberveiligheid tussen schakels en de cyberveiligheid van keten als geheel. Hierbij kan worden gedacht aan het beschikbaar stellen van voorbeeldcontracten met leveranciers, het faciliteren van (structureel) overleg tussen partners en ondersteuning van de informatiedeling op ketenniveau.

Het onderzoek is uitgevoerd door het lectoraat Cyber Security in het MKB aan De Haagse Hogeschool, door MSc. L. (Luuk) Bekkers, dr. R. (Rick) Van der Kleij en dr. R. (Rutger) Leukfeldt. In opdracht van het Platform Veilig Ondernemen (PVO) via een subsidie van het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) is het onderzoeksrapport uitgebracht.