Laat je niet in cyberslaap sussen

In maart van 2022 werden maar liefst acht woningcorporaties slachtoffer van een cyberaanval. Geen toeval want alle acht waren ze klant bij dezelfde ICT-leverancier. Dat heeft de discussie aangewakkerd over de afhankelijkheid van ICT-leveranciers voor cybersecurity.

Organisaties vertrouwen in hoge mate op het oordeel en de deskundigheid van hun leverancier, maar vergeten tegelijkertijd vast te stellen of die ICT-leverancier zelf wel aan een acceptabele beveiligingsstandaard voldoet. De bewuste woningcorporaties zijn klant bij The Sourcing Company, een ICT-bedrijf uit Woerden. Via het computersysteem van dit bedrijf konden de hackers bij persoonsgegevens van huurders komen.

Russische hackergroep Conti verantwoordelijk
De websites van de woningcorporaties lagen door de hack tijdelijk plat. Hoeveel gegevens van de corporaties zijn buitgemaakt, is onbekend. Inmiddels hebben de woningcorporaties extra beveiligingsmaatregelen genomen. De beruchte Russische cyberbende Conti lijkt achter de hack te zitten die de woningcorporaties heeft getroffen in onder meer Noord-Brabant. In april publiceerde de criminele groepering een deel van de 'gegijzelde' informatie op het darkweb, vermoedelijk om losgeldeisen kracht bij te zetten.

Stel eisen aan je leverancier en leg ze vast
Natuurlijk moet je op de deskundigheid van een leverancier kunnen vertrouwen. Maar als een organisatie flinke interne eisen stelt aan beveiliging is het natuurlijk niet te verklaren dat diezelfde eisen vaak niet worden doorgegeven aan een leverancier. Een ICT-leverancier moet natuurlijk een goed antwoord hebben op vragen over zijn security, maar als een organisatie deze vragen niet stelt blijven ze vaak onbesproken.

Bij grote bedrijven is het checken van leverancier gebruikelijk
Bij de overheid en zakelijke ondernemingen is het heel gebruikelijk dat een ICT-leverancier een flink pakket security vragen te verwerken krijgt. Het antwoord daarop moet ook bevredigend zijn, anders kan de leverancier niet aan de slag. Er worden zelfs security audits bij leveranciers uitgevoerd zodat een organisatie onafhankelijk kan laten vaststellen of een ICT-leverancier zijn zaken wel op orde heeft. In het MKB is dit mogelijk een wat zwaar middel, maar een vragenlijst met belangrijke security punten voor leveranciers is toch wel het minste wat er zou moeten zijn.

De SLA zou alle waarborgen moeten bevatten
Het gevoelige punt ligt mogelijk ook in het feit dat kleinere organisaties zelf veel te weinig kennis in huis hebben om een leverancier (die je nota bene in huis haalt om veilig digitaal te kunnen werken) kritisch te bevragen over zijn eigen securityvoorzieningen en waarborgen. Maar het is wel nodig, zo blijkt. Afspraken over security en de consequenties van kwetsbaarheden bij een leverancier moeten worden verankerd in een SLA (Service Level Agreement). Echter is die er vaak niet, of hij is te oud. En als hij recent is, is hij vaak door de ICT-leverancier zelf gemaakt en is er een groot risico dat de SLA te eenzijdig is. Dat is de marktpraktijk. Er is nog een lange weg te gaan.