Cyber security toeleveringsketens: zo sterk als de zwakste schakel

08-09-2018 Analisten schatten dat 80% van de cyberaanvallen zijn oorsprong vindt in toeleveringsketens. Bescherming ervan is dus een absolute prioriteit voor elke organisatie. Daarom zijn er op internationaal niveau normen ontwikkeld om de toeleveringsketens beter te beschermen.

Verschillende sectoren en activiteiten, maar geconfronteerd met vergelijkbare uitdagingen

Een recente conferentie over het beheren van cyberrisico's in kritieke infrastructuur, georganiseerd door de Financial Times in Londen, hield een panelsessie over het beveiligen van de kritieke toeleveringsketens. Verschillende sprekers noemden de risico’s van ‘watering hole’ aanvallen. Een watering hole is een cyberaanval waarbij een website die veel door een bepaalde doelgroep wordt aangevallen en voorzien van malware, met als doel de doelgroep met deze malware te besmetten. Alle panelleden waren het ermee eens dat zij voor soortgelijke uitdagingen stonden met infrastructuren en processen die steeds meer op IT en OT vertrouwden. Het is veel ingewikkelder dan voorheen om toeleveringsketens te beheren wanneer digitalisering minder wijdverspreid was en cyberbedreigingen geen probleem vormden.

Software supply chain is dus een aantrekkelijk doelwit voor aanvallers. Dat staat ook in het rapport Foreign Economic Espionage in Cyberspace van juli 2018 van het Amerikaanse National Counterintelligence and Security Center (NCSC). Hierin wordt gewaarschuwd dat infiltratie van software supply chain de sector van de kritieke infrastructuur al bedreigt en dat andere sectoren ook gevaar lopen.

NEN-ISO/IEC 27036 helpt om relatie met leverancier te waarborgen

De normenserie NEN-ISO/IEC 27036 bestaat uit vier delen en biedt richtlijnen om organisaties te helpen bij het beveiligen van hun informatie- en informatiesystemen in het kader van relaties met leveranciers. Het ondersteunt ook de beoordelingen van risico's die van toepassing zijn op software, hardware en processen.

  • NEN-ISO/IEC 27036-1Information security for supplier relationships - Part 1: Overview and concepts beschrijft de sleutelbegrippen bij het beveiligen van leveranciersrelaties. Het biedt ook een inleiding tot de andere delen van NEN-ISO/IEC 27036.
  • NEN-ISO/IEC 27036-2Information security for supplier relationships - Part 2: Requirements specificeert fundamentele informatiebeveiligingsvereisten voor het definiëren, implementeren, beheren, monitoren, beoordelen, onderhouden en verbeteren van leveranciersrelaties. Deze vereisten hebben betrekking op alle inkoop en levering van producten en diensten.
  • NEN-ISO/IEC 27036-3 Information security for supplier relationships - Part 3: Guidelines for information and communication technology supply chain security biedt richtlijnen voor het beheer van de informatiebeveiligingsrisico's die worden veroorzaakt door fysiek verspreide en meerlaagse ICT-toeleveringsketens
  • NEN-ISO/IEC 27036-4 Information security for supplier relationships - Part 4: Guidelines for security of cloud services biedt cloud serviceklanten en cloud serviceproviders begeleiding bij a)het verkrijgen van inzicht in de informatiebeveiligingsrisico's die gepaard gaan met het gebruik van cloudservices en het effectief beheren van die risico's, en b)reageren op risico’s specifiek voor de verwerving of levering van cloudservices die een informatiebeveligingsrisico kunnen hebben op organisaties die gebruik maken van de service.

Actiepakket NEN-ISO/IEC 27036

Profiteer tijdelijk van 10% korting op de normenserie NEN-ISO/IEC 27036. Dit pakket bevat alle vier de normdelen en helpt organisaties bij het beveiligen van hun informatie- en informatiesystemen in het kader van relaties met leveranciers.
Bestel actiepakket NEN-ISO/IEC 27036

Meer informatie

Voor meer informatie over NEN-ISO/IEC 27036 neem contact op met: Jolien van Zetten, consultant Kennis en Informatiediensten, telefoon 015 2690 298 of e-mail kid@nen.nl.

Eerder door u bekeken