Verdiepende maatregelen voor toeleveranciers
Als leverancier aan een Cbw-organisatie wil je niet verrast worden door de eisen die de Cbw-organisatie aan je beveiliging stelt ter bescherming van de keten.
Je hebt de basismaatregelen al genomen ter voorbereiding op je rol als toeleverancier van een Cbw-organisatie. Om jouw weerbaarheid naar een nog hoger niveau te brengen, staan hieronder enkele verdiepende maatregelen per basisprincipe. Ze helpen bij het verhogen van de cyberweerbaarheid van jouw organisatie, maar er is geen garantie dat het implementeren van deze maatregelen aansluit bij de geïdentificeerde risico’s van de Cbw-organisatie. Het kan zijn dat de Cbw- organisatie aan wie je levert meer of andere maatregelen van jouw organisatie verwacht. Daarom is het belangrijk om zo snel mogelijk het gesprek aan te gaan met de Cbw-organisatie. Ter voorbereiding op het gesprek en ter inspiratie kunnen de onderstaande maatregelen genomen worden.
Stel je vragen aan de DTC Community
Ketenweerbaarheid kan vragen opleveren. Vragen waar andere ondernemers of securityprofessionals mogelijk antwoorden op hebben. Boor deze kennisbronnen aan via de DTC Community.
Welke verdiepende maatregelen kun je als toeleverancier treffen?
Basisprincipe 1 - Risico's in kaart brengen
Onder dit principe valt het uitvoeren van een risicoanalyse, maar dat je ook risicomanagement inricht in jouw organisatie. Met risicomanagement zorg je ervoor dat een risicoanalyse geen losstaande activiteit is, maar periodiek worden uitgevoerd. Het brengt in kaart welke maatregelen genomen zijn, door wie en wie eigenaar is van het risico.
Risicomanagement is niet alleen iets van de CISO-rol of de IT-afdeling. Het is van belang dat gehele organisatie participeert met het identificeren, analyseren en (mogelijk) verkleinen van de risico’s. Een directie of bestuur heeft een voortrekkersrol.
Voor een verdieping op jouw risicomanagement heeft het NCSC een routekaart opgesteld. Door de achtergrond, methodiek en toepassingen te beschrijven ben je in staat om gebruik te maken van de routekaart. Dit helpt jou om bestaande activiteiten en plannen op het gebied van cybersecurity en risicomanagement in het grotere geheel te plaatsen.
In aanvulling hierop is het nuttig om naar jouw afhankelijkheden te kijken. Hierbij gaat het niet alleen om de afhankelijkheden van de Cbw- organisatie waaraan jij levert, maar ook de producten of diensten waar je zelf een kritieke afhankelijkheid hebt. Als je een overzichtelijke keten van toeleveranciers en dienstverleners hebt, kan de interactieve PDF Keteninventarisatie helpen om je ketenafhankelijkheden in kaart te brengen.
Basisprincipe 2 - Bevorder veilig gedrag
Bij dit principe gaat het om het creëren van een veiligheidscultuur. Train je medewerkers zodat zij weten hoe ze om moeten gaan met de aan hen beschikbaar gestelde informatie en systemen. Zorg er ook voor medewerkers aangemoedigd worden om incidenten of verdachte situaties te melden. Dit kan onderdeel zijn van een cyberbewustwordingscampagne of een cyberoefening ter voorbereiding op een cyberaanval.
Met techniek kun je veilig gedrag ondersteunen. Je kunt sterke wachtwoorden technisch afdwingen of een gebruiksvriendelijke wachtwoordmanager beschikbaar stellen.
Naast het stimuleren van veilig gedrag kan een verdiepingsslag zijn om beleid op te stellen over in- en uitdienstreding. Nieuwe medewerkers worden meegenomen met over de afspraken uit het veiligheidscultuur en welke verantwoordelijkheden binnen zijn/haar rol vallen. Een maatregel bij de onboarding is om medewerkers te screenen. De Autoriteit Persoonsgegevens verstrekt je meer informatie over screening. Daarnaast is het aan te raden om afspraken te maken met jouw werknemers over thuiswerken en over het gebruik van apparaten/devices.
Basisprincipe 3 - Bescherm je systemen, applicaties en apparaten
Bescherming van je IT-infrastructuur is essentieel. Je loont om je aanvalsoppervlak te beperken. Dit kun je onder andere doen door de zogenoemde 'edge devices' aan de rand van je bedrijfsnetwerk, goed te beveiligen.
Een andere maatregel die je weerbaarheid vergroot, is het beveiligen van je bedrijfsnetwerk. Dit kan door het segmenteren van het netwerk waarmee je het netwerk in meerdere zones verdeelt. Ook het toepassen van encryptie van data biedt bescherming. Met encryptie versleutel je je data en hebben onbevoegden zonder sleutel, geen toegang tot je data.
Heeft jouw organisatie al een patch management proces ingericht? In het patch managementbeleid beschrijf je onder welke voorwaarden een beveiligingsupdate geïnstalleerd wordt nadat het beschikbaar is gekomen. Welke systemen update je meteen? En welke (soort) kwetsbaarheden kunnen wachten op het vaste moment in de week of maand? In je patchbeleid leg je deze procedures vast. Als basis kun je dit voorbeeld van een patchbeleid gebruiken.
Basisprincipe 4 - Beheer toegang tot data en diensten
Heb je binnen je organisatie de toegang tot informatie en systemen ingeregeld? Naast MFA op belangrijkste bedrijfssystemen, kun je ook specifieke rechten uitgeven. Je kunt hier het principe van least privilege hanteren en ook een scheiding van rechten maken. Een rechtenmatrix is een handig hulpmiddel hiervoor.
Het hanteren van aan het concept ‘least privilege’ zorgt niet alleen voor dat de impact van een gehackt account minder wordt, maar ook de impact van 'insider threat' kan hiermee verminderen. Een insider threat is een persoon die de intentie heeft om schade aan een organisatie toe te brengen. Deze persoon heeft geautoriseerde toegang tot kennis en middelen van een organisatie of heeft dat gehad.
Daarnaast kun je als organisatie in de cloudomgeving ervoor kiezen om conditionele toegang instellen. Dit houdt in dat bij het inloggen niet alleen wordt gekeken naar het combinatie gebruikersnaam en wachtwoord maar ook naar andere factoren, zoals tijdstip, locatie of apparatuur. Op basis van deze factoren wordt een inschatting gemaakt hoe risicovol een inlogpoging is en welke gegevens iemand mag zien.
Basisprincipe 5 - Bereid je voor op incidenten
Als toeleverancier van een Cbw-organisatie is het samen oefenen van een cyberincident een belangrijke voorbereiding. Je hebt mogelijk al een Incident Response Plan, maar houdt deze rekening met de impact op de keten? We adviseren je om periodiek, tenminste jaarlijks, te oefenen op incidenten om je reactie en plan te verbeteren. Kijk welk soort oefeningen er zijn en overleg met de Cbw-organisatie in de keten welke oefeningen jullie samen kunnen uitvoeren.
Een andere belangrijke maatregel bij dit principe is het hebben van back-ups. Wil je zeker weten dat je altijd kunt rekenen op je back-ups, neem dan de moeite om een back-up strategie op te stellen.
Hulpmiddelen voor toeleveranciers
Heldere afspraken maken tussen bedrijven en hun IT-dienstverleners? Als hulpmiddel ontwikkelden we met IT-brancheorganisaties een interactieve 'praatplaat IT-dienstverlener'. Dit document helpt je om scherpte aan te brengen in de verantwoordelijkheden en wederzijdse verwachtingen.
Voor bedrijven met een overzichtelijke keten van toeleveranciers is er een 'Handvat voor keteninventarisatie'. Met deze interactieve PDF breng je je belangrijkste leveranciers in kaart en bepaal je de gevolgen van een leveringsstop.
De AIVD, CIO Rijk, NCSC en NCTV hebben een handreiking gemaakt voor het inventariseren en beheersen van supply chain risico’s voor producten en diensten uit landen met een offensief cyberprogramma gericht tegen Nederlandse belangen.