Skip to main content

Hoe keur je cybervolwassenheid van je toeleveranciers? Antwoord: met hulp van het NCSC

Je kunt je eigen systemen nog zo goed beveiligen, als je toeleverancier dat niet doet, bestaat er nog steeds een kans dat klanten van bedrijven of inwoners van gemeenten en provincies slachtoffer worden van een datalek. Hoe bescherm je die derden tegen de gevolgen van een cyberaanval elders in de keten? Het NCSC brengt een handreiking met good practices uit.

210 inwoners van Etten-Leur ontvingen onlangs een brief dat ze mogelijk slachtoffer zijn van een datalek. Hackers hadden mogelijk hun namen, woonadressen en e-mailadressen in handen. Niet omdat de gemeente slordig was, maar omdat deze mensen een digitale enquete hadden ingevuld, waarbij software werd gebruikt van softwarebedrijf Nebu, dat in maart te maken kreeg met een groot datalek. Inwoners van de gemeente Woerden werden mogelijk slachtoffer van hetzelfde lek. Mogelijk, omdat ook na afronding van het onderzoek door Nebu zelf niet duidelijk is welke data zijn buitgemaakt en door wie.

Weinig zicht op risico s

Etten-Leur en Woerden stelden de inwoners zelf maar op de hoogte, maar toen was het leed, nogmaals: mogelijk, al geschied. Wat kunnen overheidsorganisaties doen om te voorkomen dat inwoners de dupe zijn van aanvallen op derde partijen? En wat kunnen bedrijven doen om hun klanten daartegen te beschermen? Dat is lastig. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten concludeerde de Informatiebeveiligingsdienst eerder al dat er weinig zicht is op feitelijke risico s wanneer ICT-zaken zijn uitbesteed.

Toch is het ook weer niet helemaal een kwestie van stilletjes afwachten en er het beste van hopen. Het Nationaal Cyber Security Centrum, NCSC, verzamelde good practices van Nederlandse publieke en private organisaties over omgaan met risico s in de toeleveringsketen. De scope varieert van afhankelijkheden, zoals de keer dat er kwetsbaarheden in Log4j werden ontdekt en deze softwarebouwsteen het digitale equivalent van zout bleek te zijn, tot geopolitieke ontwikkelingen die invloed hebben op de veiligheid van de keten.  

Assets en kroonjuwelen

In de online gratis te downloaden handreiking geeft het NCSC enkele praktische handvaten, primair bedoeld voor CIO s, CISO s en risicomanagers. Het begint allemaal met het verkrijgen van een actueel overzicht van de assets, informatie of digitale systemen die van waarde zijn voor een organisatie. Daarbij is essentieel om goed te weten wat de kroonjuwelen zijn; de informatie of informatiesystemen die het allerbelangrijkst zijn. De ICT-afdeling onderhoudt normaal gesproken een asset-overzicht, legt het NCSC uit in de handreiking.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Het beheren van verwerkersovereenkomsten
Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerker zich aan de AVG houdt
Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510
BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.
De kracht van ambassadeurs
Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.

Meer recente berichten

Governance artikel in wetsvoorstel NIS2 geeft bestuurder te veel ruimte
Verder lezen
Cybersecurity vaak te laat in beeld: tips voor een fundamentele aanpak
Verder lezen
Britse toezichthouder roept publiek op om privacybeleid apps te lezen
Verder lezen
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN
Verder lezen
Nederlandse bedrijven richten zich op quick wins bij implementatie NIS2
Verder lezen
Mogelijk steviger toezicht op cybersecurity gemeentelijke websites
Verder lezen
Slimme camera s geven ouderenzorg privacy
Verder lezen
Ook AIVD kijkt kritisch naar AWS cloudverhuizingsplan van SIDN
Verder lezen
Bestuurders moeten verantwoordelijkheid nemen voor cybersecurity
Verder lezen
Nieuwe subsidie beschikbaar voor verhogen cybersecurity in, zonne, energiesector
Verder lezen