Je kunt je eigen systemen nog zo goed beveiligen, als je toeleverancier dat niet doet, bestaat er nog steeds een kans dat klanten van bedrijven of inwoners van gemeenten en provincies slachtoffer worden van een datalek. Hoe bescherm je die derden tegen de gevolgen van een cyberaanval elders in de keten? Het NCSC brengt een handreiking met good practices uit.

210 inwoners van Etten-Leur ontvingen onlangs een brief dat ze mogelijk slachtoffer zijn van een datalek. Hackers hadden mogelijk hun namen, woonadressen en e-mailadressen in handen. Niet omdat de gemeente slordig was, maar omdat deze mensen een digitale enquete hadden ingevuld, waarbij software werd gebruikt van softwarebedrijf Nebu, dat in maart te maken kreeg met een groot datalek. Inwoners van de gemeente Woerden werden mogelijk slachtoffer van hetzelfde lek. Mogelijk, omdat ook na afronding van het onderzoek door Nebu zelf niet duidelijk is welke data zijn buitgemaakt en door wie.

Weinig zicht op risico s

Etten-Leur en Woerden stelden de inwoners zelf maar op de hoogte, maar toen was het leed, nogmaals: mogelijk, al geschied. Wat kunnen overheidsorganisaties doen om te voorkomen dat inwoners de dupe zijn van aanvallen op derde partijen? En wat kunnen bedrijven doen om hun klanten daartegen te beschermen? Dat is lastig. In het Dreigingsbeeld informatiebeveiliging Nederlandse gemeenten concludeerde de Informatiebeveiligingsdienst eerder al dat er weinig zicht is op feitelijke risico s wanneer ICT-zaken zijn uitbesteed.

Toch is het ook weer niet helemaal een kwestie van stilletjes afwachten en er het beste van hopen. Het Nationaal Cyber Security Centrum, NCSC, verzamelde good practices van Nederlandse publieke en private organisaties over omgaan met risico s in de toeleveringsketen. De scope varieert van afhankelijkheden, zoals de keer dat er kwetsbaarheden in Log4j werden ontdekt en deze softwarebouwsteen het digitale equivalent van zout bleek te zijn, tot geopolitieke ontwikkelingen die invloed hebben op de veiligheid van de keten.  

Assets en kroonjuwelen

In de online gratis te downloaden handreiking geeft het NCSC enkele praktische handvaten, primair bedoeld voor CIO s, CISO s en risicomanagers. Het begint allemaal met het verkrijgen van een actueel overzicht van de assets, informatie of digitale systemen die van waarde zijn voor een organisatie. Daarbij is essentieel om goed te weten wat de kroonjuwelen zijn; de informatie of informatiesystemen die het allerbelangrijkst zijn. De ICT-afdeling onderhoudt normaal gesproken een asset-overzicht, legt het NCSC uit in de handreiking.

Deze versturen we 3-4x per jaar.