Skip to main content

Hoe keur je cybervolwassenheid van je toeleveranciers? Antwoord: met hulp van het NCSC

Je kunt je eigen systemen nog zo goed beveiligen, als je toeleverancier dat niet doet, bestaat er nog steeds een kans dat klanten van bedrijven of inwoners van gemeenten en provincies slachtoffer worden van een datalek. Hoe bescherm je die derden tegen de gevolgen van een cyberaanval elders in de keten? Het NCSC brengt een handreiking met good practices uit.

210 inwoners van Etten-Leur ontvingen onlangs een brief dat ze mogelijk slachtoffer zijn van een datalek. Hackers hadden mogelijk hun namen, woonadressen en e-mailadressen in handen. Niet omdat de gemeente slordig was, maar omdat deze mensen een digitale enquete hadden ingevuld, waarbij software werd gebruikt van softwarebedrijf Nebu, dat in maart te maken kreeg met een groot datalek. Inwoners van de gemeente Woerden werden mogelijk slachtoffer van hetzelfde lek. Mogelijk, omdat ook na afronding van het onderzoek door Nebu zelf niet duidelijk is welke data zijn buitgemaakt en door wie.

Weinig zicht op risico s

Etten-Leur en Woerden stelden de inwoners zelf maar op de hoogte, maar toen was het leed, nogmaals: mogelijk, al geschied. Wat kunnen overheidsorganisaties doen om te voorkomen dat inwoners de dupe zijn van aanvallen op derde partijen? En wat kunnen bedrijven doen om hun klanten daartegen te beschermen? Dat is lastig. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten concludeerde de Informatiebeveiligingsdienst eerder al dat er weinig zicht is op feitelijke risico s wanneer ICT-zaken zijn uitbesteed.

Toch is het ook weer niet helemaal een kwestie van stilletjes afwachten en er het beste van hopen. Het Nationaal Cyber Security Centrum, NCSC, verzamelde good practices van Nederlandse publieke en private organisaties over omgaan met risico s in de toeleveringsketen. De scope varieert van afhankelijkheden, zoals de keer dat er kwetsbaarheden in Log4j werden ontdekt en deze softwarebouwsteen het digitale equivalent van zout bleek te zijn, tot geopolitieke ontwikkelingen die invloed hebben op de veiligheid van de keten.  

Assets en kroonjuwelen

In de online gratis te downloaden handreiking geeft het NCSC enkele praktische handvaten, primair bedoeld voor CIO s, CISO s en risicomanagers. Het begint allemaal met het verkrijgen van een actueel overzicht van de assets, informatie of digitale systemen die van waarde zijn voor een organisatie. Daarbij is essentieel om goed te weten wat de kroonjuwelen zijn; de informatie of informatiesystemen die het allerbelangrijkst zijn. De ICT-afdeling onderhoudt normaal gesproken een asset-overzicht, legt het NCSC uit in de handreiking.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Van code naar vertrouwen: bouw het veilig
Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?
Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?
In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.
Wat is bewustwording eigenlijk?
: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloopt.” Maar is dit echt bewustwording? En werkt het ook echt? In deze blog gaan we hier dieper op in.

Meer recente berichten

Gemeente gooit camerabewaking in de strijd tegen onveiligheid Schaepmanstraat Hoogezand
Verder lezen
Kleinbedrijf laat subsidiepot cybersecurity nog links liggen
Verder lezen
Ciso en cio groeien naar elkaar toe
Verder lezen
Intern advies over digitaal oorlogsarchief toch openbaar
Verder lezen
De European Health Data Space: een nieuwe stap voor data uitwisseling en innovatie in de gezondheidszorg
Verder lezen
Crisisbeheer: voorbereiden op cyberaanvallen
Verder lezen
DNB waarschuwt voor internationale spanningen en cyberaanvallen
Verder lezen
RDI en AP: alle toezichthouders moeten toezien op ai
Verder lezen
AP verwijt DUO discriminatie bij gebruik algoritme
Verder lezen
Citrix kwetsbaarheden werden vorig jaar het vaakst uitgebuit
Verder lezen