Als bedrijf kun je zelf wel de ICT-beveiliging op orde hebben, maar hoe zit dat met je leveranciers en afnemers? Kortom hoe werkt cybersecurity in de keten op strategisch en operationeel niveau? De Cyber Security Raad (CSR) signaleert dat ketenveiligheid nauwelijks op de agenda staat van overheid en bedrijfsleven. Dat kan echt niet meer, zegt Ben Voorhorst, CSR-lid en operationeel directeur (COO) van een Europese netbeheerder. Daarom heeft de energiesector het initiatief genomen een methode te ontwikkelen die ieders specifieke keten in kaart brengt, en die voor iedereen beschikbaar is.

Zwakke plekken in cybersecurity bedrijfsleven

Informatietechnologie wordt steeds belangrijker in het bedrijfsleven. Tussen bedrijven in een keten is het een belangrijke verbindingsschakel. Door outsourcing van IT en cybersecurity ontstaan nieuwe zwakke plekken tussen organisaties die niet beveiligd zijn. Juist daar kunnen hackers aanvallen. Als je de beveiliging als bedrijf zelf goed op orde hebt, kun je dus door partijen waar je afhankelijk van bent toch geraakt worden in jouw primaire proces. Regelmatige onderlinge afstemming over cybersecurity in de keten is daarom essentieel. De energiesector heeft zijn keten in beeld gebracht, van gasopwekking tot en met productie, transport, distributie en afrekening bij de klant. Voorhorst: “Iedereen die bedrijfscontinuïteit serieus neemt, zou met dit model aan de slag moeten.”

Framework van ketenafhankelijkheid in de energiesector

De energiesector heeft als een van de vitale sectoren in Nederland al geleerd niet alleen naar het primaire proces te kijken, maar ook naar de ondersteunende kant, zoals de IT. Verschillende partijen in de energieketen hebben de ketenafhankelijkheid onder de loep genomen. Volgens Voorhorst is de winst daarvan dat je met allerlei partijen in de keten praat en gezamenlijk tot cybersecurity komt voor alle vitale processen, zodat de levering van producten en diensten zoveel mogelijk gezamenlijk wordt geborgd. Ze concludeerden dat er geen framework bestond voor hun ketenafhankelijkheid en besloten hier een boekje te maken met een methodiek die ook prima bruikbaar en beschikbaar is in andere ketens. “Doe deze exercitie. Het levert extra kennis en verbeterpunten op”, aldus Voorhorst.

Cybersecurity bespreken door leveranciers onderling

Om eigen processen en bedrijfscontinuïteit te waarborgen is het belangrijk te weten wat de kritische onderdelen zijn in de keten. Voorhorst wijst op de IT- en telecomdiensten die bedrijven in de keten gebruiken. IP-routers komen bijvoorbeeld van een selecte groep leveranciers, waardoor bedrijven vaak dezelfde apparaten gebruiken. Als daar iets gebeurt, is het zaak meteen contact met elkaar op te nemen. Risicodenken en bedrijfscontinuïteit staan in de energiesector hoog op de agenda. De waarde van het ketenoverleg is dat partijen elkaar beter leren kennen en samen nadenken over hoe zij zich tegen cybergevaren kunnen wapenen. Natuurlijk duurt het even voor het onderling vertrouwen er is. Voorhorst: “Je spreekt toch over de kwetsbaarheden in jouw organisatie.” Maar het vertrouwen is ontstaan.

Energiesector loopt voor op cybersecurity

Ook in de directiekamers van de bedrijven staat cybersecurity in het ketenproces naast bedrijfscontinuïteit nu regelmatig op de agenda. En daar hoort het ook thuis, vindt Voorhorst. De verschillende partijen in de keten komen bijvoorbeeld twee keer per jaar bij elkaar om actuele ontwikkelingen in cybersecurity door te nemen. Als zich een serieus incident heeft voorgedaan, moet dat in zo’n ketengesprek op tafel komen om zo de keten te kunnen versterken. De energiesector is hier al ver mee en houdt cybersecurity nauwlettend en gezamenlijk in de gaten. Toch vallen geen garanties te geven dat een inbraak nooit voor zal komen, stelt Voorhorst. “Je moet er met elkaar alles aan doen om met preventie en detectie inbraken te voorkomen. Dat loont in ieder geval meer dan achteraf repareren.”

Wat is noodzakelijk voor ketensamenwerking?

CSR-lid Marcel Krom is CIO (Chief Information Officer) bij een Nederlands postbedrijf en voorzitter van het CIO Platform waarin bedrijven en overheden aan de IT-vraagkant bij elkaar komen om te spreken over onder meer cybersecurity. Net als Voorhorst ziet hij dat bedrijven nog weinig beseffen dat ze zich in een keten bevinden. Computersystemen praten met elkaar en wisselen informatie uit. “Gaat er in de keten wat mis, dan ligt je eigen bedrijfsproces ook stil. Besef daarom in welke bedrijfstak je zit en bepaal wie je ketenpartners zijn.” In de logistiek heb je bijvoorbeeld te maken met heel veel andere partijen waar je afspraken mee moet maken om jezelf veilig te stellen. De CIO heeft hier een taak. Hij maakt met leveranciers afspraken over informatiebeveiliging en legt de rechten en plichten vast in contracten (SLA’s). Het moet in ieder geval de afspraak zijn om in het geval van een incident direct met elkaar in contact te treden.

Wat is belangrijk voor cybersecurity in het mkb?

Bedrijven die IT gebruiken en bedrijven die IT-oplossingen leveren hebben volgens Krom een gezamenlijke zorgplicht bij het invullen van veilige oplossingen en gezamenlijke kwaliteitscriteria. Bij grote bedrijven is dat over het algemeen redelijk geborgd, maar in het midden- en kleinbedrijf (mkb) niet altijd. Dat heeft te maken met schaalgrootte en expertise. Vanuit de zorgplicht die ieder bedrijf heeft richting zijn afnemers, zouden ook deze bedrijven zich moeten verdiepen in cybersecurity en beschikbare kennis tot zich moeten nemen. Dit heeft alles te maken met bedrijfscontinuïteit, hoge boetes en het risico op reputatieschade als de boel niet op orde is. IT-leveranciers hebben een grote rol als het gaat om het verspreiden van inzichten over cybersecurity binnen het mkb.

Checklist voor de Raad van Bestuur

Krom is het eens met Voorhorst dat cybersecurity een terugkerend onderwerp moet zijn in de Raad van Bestuur en de Raad van Commissarissen (RvC), onder de noemer bedrijfscontinuïteit. Want borging van bedrijfscontinuïteit is voor ieder bedrijf het allerbelangrijkst. Als er iets misgaat, moeten meteen maatregelen klaarliggen om te reageren. Daar moet vanuit de top voldoende zicht op zijn. De CSR heeft daarom op zijn website een checklist beschikbaar gesteld met vragen die de RvC kan stellen, zodat zij kan inschatten of het bedrijf voldoende is voorbereid op cyberincidenten. Het is daarna zaak het urgentiebesef ook in het operationele proces en op de werkvloer te laten terugkomen.

Bewustzijn van cybersecurity ook op de werkvloer

Technologisch valt veel te voorkomen. Maar cybersecurity is niet alleen voorbehouden aan de IT-afdeling. Het is vooral zaak ook te werken aan de interne cultuur en het gedrag en bewustzijn van je personeel. Cybercrime is geen ver-van-mijn-bedshow, maar realiteit. Er zijn vele voorbeelden van geslaagde cyberaanvallen of -inbraken die door onoplettendheid van medewerkers in gang zijn gezet. “Steek dus niet zomaar een gevonden USB-stick in je computer. Dat is een veel gehanteerde methode om bedrijfssystemen binnen te komen.”