Waarom en hoe bewijzen dat je product cyberveilig is? Maak kennis met supply chain security!

12 november 2021

Steeds meer Vlaamse bedrijven moeten hun cyberveiligheid bewijzen. Grote internationale ondernemingen eisen een gegarandeerde cybersecurity . Ze willen geen hackers binnenkrijgen via producten van toeleveranciers. Noch willen ze datalekken. Maak kennis met supply chain security. Wat houdt het in? Waarop moet je letten bij het bewijzen dat je product cyberveilig is?

In dit artikel beantwoordt Patrick Coomans de acht meest gestelde vragen over de steeds grotere cybersecurity -eisen die grotere ondernemingen aan hun kleinere leveranciers stellen.

Patrick is expert cybersecurity, innovatie en entrepreneurship voor Agoria en Sirris. Hij stuurt het cybersecurityprogramma van deze twee organisaties aan.

Wat is supply chain security?

Patrick Coomans: "Bedrijven bouwen via supply chain security veiligheid, vertrouwen en weerbaarheid in hun leveranciersketen in.

In de fysieke wereld doen bedrijven dit al heel lang waardoor onderdelen juist en veilig zijn, op tijd geleverd worden, aan de gevraagde kwaliteit voldoen, eventuele ongelukken verzekerd zijn… Indien het in deze keten misloopt, kan de productie even onderbroken worden, bijvoorbeeld wanneer er niet voldoende computerchips geleverd worden aan de auto-industrie.

In de digitale wereld is dit een heel ander verhaal. Hier gaat het om applicaties die geïntegreerd worden in de administratieve- en productiesystemen. Als die applicaties voor problemen zorgen, kan het hele bedrijf stilvallen en data gestolen worden."

"Om dit risico te kennen en in hun streven naar supply chain security leggen inkopende bedrijven hun leveranciers steeds vaker een third party cybersecurity assessment op."

Wat is een third party cybersecurity assessment?

Patrick: "Via een third party cybersecurity assessment beoordeelt een inkopend bedrijf zijn leveranciers. Dit doen ze via een uitgebreid onderzoek. Een securityvragenlijst in de vorm van een uitgebreide Excel-file maakt hier systematisch deel van uit. Soms telt deze wel 300 tot 400 vragen."

Wat vragen ze in een risk assessment rond cybersecurity?

Patrick: "80 procent van de vragen gaat over governance, procedures, policies en opleiding. Een minderheid van de vragen polsen naar technologie.

Enkele veelvoorkomende vragen:

  • Wanneer sluit je het account af van een medewerker die het bedrijf verlaat?
  • Hoe verzeker je je ervan dat het account afgesloten is?
  • Gebruiken jullie tweestapsverificatie?

Dit zijn nog eenvoudige vragen. Maar wat als er naar access segregation gevraagd wordt en hoe je de toegangsrechten precies per medewerker regelt?"

"Daarbij zien we dat de vragen vaak niet duidelijk zijn voor start-ups en scale-ups. Bij elke vraag zou eigenlijk gevraagd moeten worden of de vraag begrepen wordt. Een cybersecurity -expert die de draagwijdte van de vragen begrijpt, raad ik zeker aan."

Hoe antwoord je best?

Patrick: “De perceptie bestaat dat je op elke vraag uit zo’n security assessment moet slagen. Hierdoor wordt vaak te positief geantwoord. Het gevolg is dat slechts 34 procent van de assessors de antwoorden gelooft. Dat zegt Amerikaans onderzoek, maar het is ook relevant voor onze markt.

De risk managers en inkopers organiseren dus bijkomend en holistisch onderzoek. Ze evalueren de reputatie van de onderneming, de website, de mails die gestuurd worden, enzovoort."

Waarom eisen organisaties cyberveiligheid van hun leveranciers?

Patrick: "63 procent van de grote ondernemingen zegt dat third-party risk een toenemende prioriteit is. 79 procent van de grote ondernemingen heeft rond third-party risk formele programma’s.

Waarom? De trend laat een enorme toename aan supply chain data-attacks zien. Organisaties delen meer en meer data met elkaar. Ze koppelen tools en databases aan elkaar om slimmer te ondernemen, te produceren, te verkopen… Zo kunnen marketingbureaus bijvoorbeeld betere campagnes uitwerken of machineproducenten hun machines van op afstand onderhouden en problemen oplossen.

Maar deze koppeling van systemen moet veilig verlopen."

👉 Opmerkelijk! Ook werknemers verlangen een betere cybersecurity van hun bedrijf

"Organisaties willen vermijden dat er datalekken zijn via systemen van hun leveranciers. Ze willen hackings voorkomen, reputatieschade vermijden, hun klanten beschermen, enzovoort. Vaak zijn ze zelf gebonden aan cybersecurity assessments.

Cybersecurity is vandaag net zo onmisbaar als veiligheidsgordels in een auto. Cyberveiligheid is een verkoopstroef geworden. ‘Trust’ en ‘resilience’ (vertrouwen en veerkracht) zijn vandaag onmisbaar om handel te drijven.

En omdat slechts 14 procent van de assessors erop vertrouwt dat de veiligheidsmaturiteit van hun (digitale) toeleverancier adequaat en op peil is, lijkt het me logisch dat ze steeds meer aandacht besteden aan het inschatten van risico’s. Voordat ze met een leverancier in zee gaan vragen ze zich dus af: vertrouwen we dit bedrijf met de data van onze klanten?"

Meer artikels