Hoe keur je cybervolwassenheid van je toeleveranciers? Antwoord: met hulp van het NCSC
Je kunt je eigen systemen nog zo goed beveiligen, als je toeleverancier dat niet doet, bestaat er nog steeds een kans dat klanten van bedrijven of inwoners van gemeenten en provincies slachtoffer worden van een datalek. Hoe bescherm je die derden tegen de gevolgen van een cyberaanval elders in de keten? Het NCSC brengt een handreiking met good practices uit.
210 inwoners van Etten-Leur ontvingen onlangs een brief dat ze mogelijk slachtoffer zijn van een datalek. Hackers hadden mogelijk hun namen, woonadressen en e-mailadressen in handen. Niet omdat de gemeente slordig was, maar omdat deze mensen een digitale enquete hadden ingevuld, waarbij software werd gebruikt van softwarebedrijf Nebu, dat in maart te maken kreeg met een groot datalek. Inwoners van de gemeente Woerden werden mogelijk slachtoffer van hetzelfde lek. Mogelijk, omdat ook na afronding van het onderzoek door Nebu zelf niet duidelijk is welke data zijn buitgemaakt en door wie.
Weinig zicht op risico s
Etten-Leur en Woerden stelden de inwoners zelf maar op de hoogte, maar toen was het leed, nogmaals: mogelijk, al geschied. Wat kunnen overheidsorganisaties doen om te voorkomen dat inwoners de dupe zijn van aanvallen op derde partijen? En wat kunnen bedrijven doen om hun klanten daartegen te beschermen? Dat is lastig. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten concludeerde de Informatiebeveiligingsdienst eerder al dat er weinig zicht is op feitelijke risico s wanneer ICT-zaken zijn uitbesteed.
Toch is het ook weer niet helemaal een kwestie van stilletjes afwachten en er het beste van hopen. Het Nationaal Cyber Security Centrum, NCSC, verzamelde good practices van Nederlandse publieke en private organisaties over omgaan met risico s in de toeleveringsketen. De scope varieert van afhankelijkheden, zoals de keer dat er kwetsbaarheden in Log4j werden ontdekt en deze softwarebouwsteen het digitale equivalent van zout bleek te zijn, tot geopolitieke ontwikkelingen die invloed hebben op de veiligheid van de keten.
Assets en kroonjuwelen
In de online gratis te downloaden handreiking geeft het NCSC enkele praktische handvaten, primair bedoeld voor CIO s, CISO s en risicomanagers. Het begint allemaal met het verkrijgen van een actueel overzicht van de assets, informatie of digitale systemen die van waarde zijn voor een organisatie. Daarbij is essentieel om goed te weten wat de kroonjuwelen zijn; de informatie of informatiesystemen die het allerbelangrijkst zijn. De ICT-afdeling onderhoudt normaal gesproken een asset-overzicht, legt het NCSC uit in de handreiking.
Verder lezen bij de bron- Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand - 6 december 2024
- Kleinbedrijf laat subsidiepot cybersecurity nog links liggen - 6 december 2024
- Ciso en cio groeien naar elkaar toe - 5 december 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Nieuwsbrief
Deze versturen we 3-4x per jaar.
Recente blogs
Meer recente berichten
Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand | Verder lezen | |
Kleinbedrijf laat subsidiepot cybersecurity nog links liggen | Verder lezen | |
Ciso en cio groeien naar elkaar toe | Verder lezen | |
Intern advies over digitaal oorlogsarchief toch openbaar | Verder lezen | |
De European Health Data Space: een nieuwe stap voor data uitwisseling en innovatie in de gezondheidszorg | Verder lezen | |
Crisisbeheer: voorbereiden op cyberaanvallen | Verder lezen | |
DNB waarschuwt voor internationale spanningen en cyberaanvallen | Verder lezen | |
RDI en AP: alle toezichthouders moeten toezien op ai | Verder lezen | |
AP verwijt DUO discriminatie bij gebruik algoritme | Verder lezen | |
Citrix kwetsbaarheden werden vorig jaar het vaakst uitgebuit | Verder lezen |