Grote en kleine organisaties raken meer en meer afhankelijk van (ict-)diensten van derden, maar zijn nog maar beperkt bezig met de beheersing van risico’s die daardoor kunnen ontstaan. In deze blog vijf redenen waarom dit moet veranderen.
- Langere en complexere ketens
Veel organisaties zijn voor hun functioneren in grote mate afhankelijk van derde partijen. Neem verzekeraars. Volgens De Nederlandsche Bank (DNB) besteden verzekeraars ict-oplossingen ondersteunend aan een of meerdere kritieke bedrijfsprocessen, steeds vaker uit. Daarnaast kiezen zij er voor (delen) van hun primaire bedrijfsproces volledig uit handen te geven, zoals de schadeafhandeling, het onderhouden van klantrelaties en de administratie.
De toegenomen afhankelijkheid van en verwevenheid met derde partijen maakt dat organisaties kwetsbaarder worden voor verstoringen of informatiebeveiligingsincidenten ergens in de keten. Ketenrisicobeheersing wordt daarmee belangrijker voor de continuïteit en kwaliteit van de dienstverlening.
Bovendien worden de uitbestedingsketens langer (en daardoor) complexer. Serviceproviders die diensten leveren aan organisaties besteden zelf vaak ook een deel van het werk uit naar andere derde partijen. Dit betekent dat uitbestedingsketens van kritieke bedrijfsprocessen uit meerdere schakels kunnen bestaan.
Inzicht in en beheersing van ketenrisico’s wordt dus ingewikkeld. Dit vraagt daarom om meer inspanning vanuit organisaties en de juiste ondersteunende technologie om dit voor elkaar te krijgen.
- Toename van ketenaanvallen
Volgens het Europees Agentschap voor Cyber Security (Enisa) zijn ketenaanvallen of supply chain- aanvallen een van de grootste cyberdreigingen van dit moment.
Solarwinds is een van de bekendste ketenaanvallen van de afgelopen jaren. Aanvallers hadden kwaadaardige code toegevoegd aan een software-update van SolarWinds. Hierdoor kregen de aanvallers toegang tot alle klanten van SolarWinds die deze update hadden uitgevoerd. Onder de klanten van SolarWinds bevonden zich de Amerikaanse overheid, het Europese Parlement en grote internationale bedrijven.
Een ander en meer recentelijk voorbeeld is de Okta-aanval. Aanvallers wisten de systemen van Okta binnen te komen door middel van een gecompromitteerd systeem van een derde partij die de klantenservice verzorgde. Eenmaal binnen hadden de aanvallers weer toegang tot een deel van de systemen van twee klanten van Okta.
Beide voorbeelden laten zien dat organisaties kwetsbaar zijn voor aanvallen die plaatsvinden via een derde partij en dat deze risico’s actief beheerst moeten worden.
- Aanstaande wet- en regelgeving
Op Europees niveau worden er initiatieven ontplooid om organisaties te bewegen aandacht te besteden aan ict-ketenrisicobeheersing.
In de voorgestelde NIS-2 directive (momenteel wordt de directive besproken binnen de verschillende lidstaten) wordt nadrukkelijk aandacht besteed aan ketenrisicobeheersing. Artikel 43 stelt dat organisaties die essentiële maatschappelijke diensten leveren moeten beoordelen of de cybersecurity van derde partijen en serviceproviders voldoende is. Artikel 45 eist van dezelfde organisaties dat zij de cybersecurity van derde partijen die data verwerken (voor analytics doeleinden) grondig beoordelen en indien nodig passende maatregelen (laten) nemen. Onderdeel van de voorgestelde NIS-2 directive is om lidstaten de mogelijkheid te geven boetes uit te delen aan organisaties die niet voldoen aan de vereisten.
Specifiek voor financiële instellingen is de Digital Operational Resilience Act (Dora) aanstaande. Deze voorgestelde wet bevat maar liefst veertien artikelen waarin tot in detail wordt beschreven wat financiële instellingen moeten doen om ict-risico’s van derde aanbieders te beheersen. Hieronder valt een uitgebreid due diligence assessment bij aanvang van het contract en risico-gestuurde monitoring om te beoordelen of derde partijen blijven voldoen aan de in het contract vastgelegde afspraken.
Tot slot werkt de Europese Commissie aan een wet voor corporate sustainability due diligence. Deze wet maakt organisaties verantwoordelijk om te controleren dat hun derde partijen zich niet schuldig maken aan slavernij, kinderarbeid, corruptie en milieuvervuiling.
- Toenemende kosten
Nu de regeldruk rond derde partijen risico’s vanuit verschillende kanten toeneemt, zullen organisaties moeten accepteren dat de kosten voor ketenrisicobeheersing zullen stijgen. Mijn stelling is dat organisaties die investeren in een volwassen ketenrisicobeheersingsorganisatie onder aan de streep goedkoper uit zijn dan organisaties die dit nalaten en maar blijven ‘doormodderen’.
Uit onderzoeken van Deloitte en KPMG blijkt dat third party risk management bij veel organisaties nog in de kinderschoenen staat. Zo ontbreekt in veel gevallen een goed geëquipeerde organisatie voor ketenrisicobeheersing, zijn rollen en verantwoordelijkheden binnen de organisatie onduidelijk belegd en wordt er onvoldoende gebruik van gemaakt van technologie die inzicht geeft en delen van het werk automatiseert. Het gevolg is dat hoogopgeleide en schaarse professionals veel tijd kwijt zijn aan vrij simpel werk, zoals het opstellen en versturen van vragenlijsten, het vinden van de juiste verantwoordelijke collega’s binnen de organisatie, het najagen van reacties en het bijhouden van spreadsheets. Werkzaamheden die in hoge mate geautomatiseerd kunnen worden zodat de professionals zich kunnen richten op het beoordelen en beheersen van de risico’s.
Bij een hogere volwassenheid van ketenrisicobeheersing hoort ook meer slimme samenwerking tussen organisaties. Zo zou op sectorniveau meer samengewerkt kunnen worden om kosten van individuele organisaties te drukken. Bijvoorbeeld bij de ontwikkeling van vragenlijsten, het delen van best practices en het uitwisselen van due diligence assessment-resultaten.
- Krapte op de arbeidsmarkt
Het behoeft geen uitleg meer dat er sprake is van een krapte op de arbeidsmarkt. Die maakt het noodzakelijk dat het beschikbare talent in organisaties zo effectief en efficiënt mogelijk wordt ingezet. Dit geldt ook voor ketenrisicobeheersing. Heldere doelstellingen en strategie, duidelijk omschreven rollen en verantwoordelijkheden, en goede ondersteunende technologie maken ketenrisicobeheersing meer volwassen. Bovendien maken ze de discipline aantrekkelijker voor de toch al zo schaarse risicoprofessional.
(Auteur Jelle Groenendaal is chief product owner (cpo) bij 3rdRisk en senior associate onderzoeker bij Crisislab.)