Gaten in de beveiliging bij toeleveranciers vormen voor de cyberveiligheid een minstens zo groot aandachtspunt als rechtstreekse aanvallen van vijandige hackers. Organisaties dienen zich voor te bereiden op aanvallen elders in de keten of het netwerk.
Dit blijkt uit het TNO-rapport ‘Als de keten zelf de zwakste schakel is’. Daarin biedt TNO inzicht in het groeiende probleem van cybercrime in de supply chain. Ook worden handvatten aangereikt voor bedrijven die zichzelf op dit terrein weerbaarder willen maken.
Aanvallers zoeken altijd naar de gemakkelijkste manier om ergens binnen te komen. Als bepaalde (toegangs)rechten bijvoorbeeld bij partners zijn ondergebracht, is het niet eens meer nodig om daadwerkelijk toegang te krijgen tot het hoofddoel. Dat kan dan eenvoudig via een omweg, waarmee de leveringsketen de zwakste schakel is.
Drie stappen
TNO hamert erop dat de verantwoordelijkheid van elk bedrijf verder reikt dan voorheen werd verondersteld. Een goed werkende cyberweerbaarheid helpt niet alleen de eigen organisatie, maar ook die van andere spelers binnen de supply chain.
TNO roept bedrijven die onderdeel zijn van een toeleverings-netwerk op om altijd drie stappen voor ogen te houden. Angst is een slechte raadgever, zo stelt het rapport. Wees rationeel. Ga niet lukraak allerlei beschermingsmaatregelen nemen. Businessontwikkelaar voor digitale innovaties Mark Buningh ziet bedrijven vooral reactief te werk gaan. Ze gaan zich pas na een incident in een reflex beschermen. ‘Je kunt heel veel geld besteden aan maatregelen voor risico’s die je wellicht helemaal niet hebt, of zelf kunt dragen.’ Anderzijds kan een bedrijf dat volledig afhankelijk is van it maar nooit een securityprobleem heeft ondervonden, zich onterecht immuun wanen. Beter is te handelen vanuit de waarde van technologie voor de organisatie.
Tweede advies is niet alleen naar de kantooromgeving te kijken, maar ook naar de industriële processen en systemen (operationele technologie). Ook de hard- en software in de producten zelf (embedded technology) moeten daarbij worden betrokken.
Vijandige aanval
Derde aanbeveling is ervaringen en best practices in het netwerk van (toe)leveranciers te delen. Zo is beter de stap te maken van bewustwording naar actie. Dit is zinvol, juist als er nog geen ervaring bestaat met een vijandige aanval. Buningh juicht het toe als bedrijven die al wel zijn aangevallen, hun ervaringen in openheid delen binnen de sector.
Aanzetten daartoe zijn al waarneembaar bij de gemeenten (VNG) en het bankwezen. Maar ook bij vitale aanbieders; partijen die een dienst aanbieden waarvan de continuïteit van vitaal belang is voor de samenleving zoals de energievoorziening, internet en datadiensten, de drinkwatervoorziening en de inzet van politie. Diverse Information Sharing & Analysis Centers (ISAC’s) zijn daar opgericht om informatiedeling te stimuleren. In het niet-vitale bedrijfsleven moet het Digital Trust Center (DTC) die ontwikkeling stimuleren.
Schaarse informatie
TNO constateert dat de schaarse informatie over actuele dreigingsbeelden of werkelijke incidenten lang niet altijd wordt gedeeld. Om verschillende redenen zijn organisaties terughoudend met het delen van cybersecurity informatie. Soms ontbreekt het aan vertrouwen in andere partijen. Ook de privacywetgeving en de angst voor reputatieschade kunnen belemmeringen vormen.
Het rapport signaleert een paradox in de datagedreven maatschappij. Organisaties willen samenwerken, maar zijn hiertoe niet in staat omdat de data die zij bezitten (privacy) gevoelig zijn. TNO heeft vastgesteld dat deze paradox de bereidwilligheid van organisaties aantast om cybersecurity informatie te delen. Bedrijven en organisaties staan wel open om van elkaar te leren, maar het delen van cybersecurity data en inzichten is vaak een brug te ver.
Secure multi-party computation (MPC) is een oplossing (zie ook kader). Het stelt grote en kleine organisaties in staat om gezamenlijk te rekenen met data op een manier alsof men samen een database deelt. TNO heeft een Proof of Concept ontwikkeld om een analyse te doen over data van cybersecurity incidenten uit verschillende organisaties. Hiermee worden barrières voor het delen van cybersecuritydata weggenomen.
Use-case
TNO heeft de toegevoegde waarde van mpc voor cybersecurity-informatiedeling onderzocht aan de hand van een use-case. Deze kwestie gaat over organisaties A, B, C, D en E. Alle slaan informatie op over cybersecurityincidenten die plaatsvinden in hun netwerk.
Ze vermoeden dat andere organisaties vergelijkbare incidenten registreren. Mocht dat zo zijn, dan zouden ze op de hoogte gesteld willen worden. Organisatie A wil de incidenten-informatie echter niet aan organisatie B, C, D en E sturen. Waarom niet? Het geeft te veel gevoelige informatie prijs, bijvoorbeeld hoelang het duurde voordat een incident opgelost was, of welke financiële schade geleden is.
De gevoeligheid van dit soort informatie staat het delen in de weg. Een MPC-protocol kan hier een oplossing voor bieden. Een protocol ziet er als volgt uit:
- Organisaties beantwoorden vragen over ieder geregistreerd incident, bijvoorbeeld over de interne acties die uitgevoerd zijn om het incident op te lossen, de aanvaller en/of de impact.
- Elke organisatie verwerkt deze informatie in een database (de input), waarna deze veilig beschikbaar gesteld wordt aan het MPC-protocol.
- De data worden veilig gecombineerd.
- Deelnemers bepalen welke analyses ze uit willen voeren op de data. Bijvoorbeeld in hoeveel procent van de incidenten malware een rol speelde. Onthoud dat de organisaties slechts de uitkomst te weten komen en dat niemand kan achterhalen dat bijvoorbeeld organisatie A meerdere ransomware aanvallen registreerde.
- Deelnemende organisaties hebben van elkaar geleerd terwijl anonimiteit behouden is gebleven. Een daadwerkelijk ‘gedeelde’ database is het resultaat.