Cyberrisico en de leveranciersketen
30 mei 2022
De Autoriteit Persoonsgegevens (AP) meet opnieuw een explosieve toename van het aantal meldingen van datalekken veroorzaakt door cyberaanvallen. Dit aantal is in 2021 bijna verdubbeld ten opzichte van het jaar daarvoor.
Bedrijven komen vaak helemaal stil te liggen
Grootschalige cyberaanvallen hebben een grote impact op de bedrijfsvoering van organisaties. Bedrijven komen vaak helemaal stil te liggen. Zo kan een ransomware-aanval op een webwinkel tot gevolg hebben dat er weken geen producten meer verkocht kunnen worden.
De AP ziet vaak dat getroffen organisaties dan eerst de systemen herstellen en pas veel later de mensen achter de persoonsgegevens op de hoogte brengen. Waardoor de schadee nóg groter kan worden, omdat de slachtoffers zichzelf dan ook pas veel later kunnen beschermen tegen de gevolgen.
IT-leveranciers zijn gewild doelwit bij cyberaanvallen
AP voorzitter Aleid Wolfsen vertelt: ‘We zien dat criminelen zich steeds vaker richten op IT-leveranciers. Die leveren bijvoorbeeld op maat gemaakte software, digitale werkplekken of opslagruimte aan organisaties. Er zijn bij die IT-leveranciers heel veel data van meerdere organisaties op één plek te bemachtigen, waardoor zij een gewild doelwit zijn.’
Voor veel organisaties die zich oriënteren op het gebruik van cloud oplossingen of zich oriënteren op een IT-leverancier in het algemeen, is het ISO 27001 certificaat van de cloud provider of IT-leverancier één van de standaard vereisten geworden. Het behoort tot de hygiëne factoren waar een leverancier aan moet voldoen alvorens vertrouwelijke gegevens te mogen ontvangen of toegang tot systemen van de klant-in-spé te mogen krijgen.
Blind vertrouwen op het ISO 27001 certificaat is risicovol
Alle organisaties die blind op het ISO 27001 certificaat van hun leverancier vertrouwen en zelf niets controleren lopen onbewust een veel groter risico dan gewenst. De belangrijkste reden is dat een ISO-certificering een momentopname is. De ISO-auditor komt één keer per jaar een audit doen. Tijdens deze audit krijgt hij inzage in de stand van zaken op dat moment. De provider weet bovendien maanden van te voren wanneer de audit plaats vindt en heeft alle gelegenheid gehad zich daarop voor te bereiden.
Vaststellen of je leverancier security echt serieus neemt
Organisaties doen er dan ook goed aan vooraf te bedenken wat ze van hun leverancier willen weten en dit gedurende de relatie regelmatig te controleren. ‘Je wilt weten of je leverancier security echt serieus neemt. Zo is het niet voldoende om te constateren dat een leverancier informatiebeveiligingsbeleid heeft geformuleerd, maar is het ook echt geïmplementeerd en worden er actief interne controles op de werking uitgevoerd. En worden de medewerkers van de leverancier voldoende getraind en getoetst op awareness?. Bij controles die wij hierop bij leveranciers uitvoeren voor onze opdrachtgevers blijkt de praktijk vaak weerbarstig.’, aldus Michael Bijtenhoorn van The Trusted Third Party.