Waarom en hoe bewijzen dat je product cyberveilig is? Maak kennis met supply chain security!

Tips
door
Agoria

Steeds meer Vlaamse bedrijven moeten hun cyberveiligheid bewijzen. Grote internationale ondernemingen eisen een gegarandeerde cybersecurity . Ze willen geen hackers binnenkrijgen via producten van toeleveranciers. Noch willen ze datalekken. Maak kennis met supply chain security. Wat houdt het in? Waarop moet je letten bij het bewijzen dat je product cyberveilig is?

""
Patrick Coomans (Agoria) raadt ondernemingen aan om het security assessment grondig aan te pakken. © Foto Agoria

In dit artikel beantwoordt Patrick Coomans de acht meest gestelde vragen over de steeds grotere cybersecurity -eisen die grotere ondernemingen aan hun kleinere leveranciers stellen.

Patrick is expert cybersecurity, innovatie en entrepreneurship voor Agoria en Sirris. Hij stuurt het cybersecurityprogramma van deze twee organisaties aan.

""
Cybersecurity wordt steeds vaker gevraagd voor een geslaagde samenwerking. © Foto krakenimages, Unsplash

Wat is supply chain security?

Patrick Coomans: "Bedrijven bouwen via supply chain security veiligheid, vertrouwen en weerbaarheid in hun leveranciersketen in.  

In de fysieke wereld doen bedrijven dit al heel lang waardoor onderdelen juist en veilig zijn, op tijd geleverd worden, aan de gevraagde kwaliteit voldoen, eventuele ongelukken verzekerd zijn… Indien het in deze keten misloopt, kan de productie even onderbroken worden, bijvoorbeeld wanneer er niet voldoende computerchips geleverd worden aan de auto-industrie.

In de digitale wereld is dit een heel ander verhaal. Hier gaat het om applicaties die geïntegreerd worden in de administratieve- en productiesystemen. Als die applicaties voor problemen zorgen, kan het hele bedrijf stilvallen en data gestolen worden."

👉 Hackers drongen via de online prikklok Intratuin in Lovendegem binnen. Ze legden zo het hele bedrijf plat? Lees Intratuin beveiligt zich om een tweede hacking te voorkomen

"Om dit risico te kennen en in hun streven naar supply chain security leggen inkopende bedrijven hun leveranciers steeds vaker een third party cybersecurity assessment op."

Wat is een third party cybersecurity assessment?

Patrick: "Via een third party cybersecurity assessment beoordeelt een inkopend bedrijf zijn leveranciers. Dit doen ze via een uitgebreid onderzoek. Een securityvragenlijst in de vorm van een uitgebreide Excel-file maakt hier systematisch deel van uit. Soms telt deze wel 300 tot 400 vragen."

Wat vragen ze in een risk assessment rond cybersecurity?

Patrick: "80 procent van de vragen gaat over governance, procedures, policies en opleiding. Een minderheid van de vragen polsen naar technologie. 

Enkele veelvoorkomende vragen:

  • Wanneer sluit je het account af van een medewerker die het bedrijf verlaat?
  • Hoe verzeker je je ervan dat het account afgesloten is?
  • Gebruiken jullie tweestapsverificatie?

Dit zijn nog eenvoudige vragen. Maar wat als er naar access segregation gevraagd wordt en hoe je de toegangsrechten precies per medewerker regelt?"

👉 VLAIO subsidieert het inzetten van cybersecurity -specialisten. Klik nu door naar de Cybersecurity-Verbetertrajecten voor kmo’s

"Daarbij zien we dat de vragen vaak niet duidelijk zijn voor start-ups en scale-ups. Bij elke vraag zou eigenlijk gevraagd moeten worden of de vraag begrepen wordt. Een cybersecurity -expert die de draagwijdte van de vragen begrijpt, raad ik zeker aan."

""
Een reddingsband voorkomt verdrinking. Een cybersecurity assessment voorkomt schade via leveranciers. © Foto Matthew Waring, Unsplash

Hoe antwoord je best?

Patrick: “De perceptie bestaat dat je op elke vraag uit zo’n security assessment moet slagen. Hierdoor wordt vaak te positief geantwoord. Het gevolg is dat slechts 34 procent van de assessors de antwoorden gelooft. Dat zegt Amerikaans onderzoek, maar het is ook relevant voor onze markt.

De risk managers en inkopers organiseren dus bijkomend en holistisch onderzoek. Ze evalueren de reputatie van de onderneming, de website, de mails die gestuurd worden, enzovoort."

""
Vroeger gingen risk managers wel eens in zee met een bedrijf dat het niet zo nauw nam. Maar vandaag leggen ze de lat steeds hoger.
Patrick Coomans, cybersecurity-expert Agoria en Sirris

Waarom eisen organisaties cyberveiligheid van hun leveranciers?

Patrick: "63 procent van de grote ondernemingen zegt dat third-party risk een toenemende prioriteit is. 79 procent van de grote ondernemingen heeft rond third-party risk formele programma’s.

Waarom? De trend laat een enorme toename aan supply chain data-attacks zien. Organisaties delen meer en meer data met elkaar. Ze koppelen tools en databases aan elkaar om slimmer te ondernemen, te produceren, te verkopen… Zo kunnen marketingbureaus bijvoorbeeld betere campagnes uitwerken of machineproducenten hun machines van op afstand onderhouden en problemen oplossen.

Maar deze koppeling van systemen moet veilig verlopen."

"Organisaties willen vermijden dat er datalekken zijn via systemen van hun leveranciers. Ze willen hackings voorkomen, reputatieschade vermijden, hun klanten beschermen, enzovoort. Vaak zijn ze zelf gebonden aan cybersecurity assessments. 

Cybersecurity is vandaag net zo onmisbaar als veiligheidsgordels in een auto. Cyberveiligheid is een verkoopstroef geworden. ‘Trust’ en ‘resilience’ (vertrouwen en veerkracht) zijn vandaag onmisbaar om handel te drijven.

En omdat slechts 14 procent van de assessors erop vertrouwt dat de veiligheidsmaturiteit van hun (digitale) toeleverancier adequaat en op peil is, lijkt het me logisch dat ze steeds meer aandacht besteden aan het inschatten van risico’s. Voordat ze met een leverancier in zee gaan vragen ze zich dus af: vertrouwen we dit bedrijf met de data van onze klanten?"

Wie is Patrick Coomans?

Patrick Coomans verkocht als voormalig cybersecurity ondernemer zijn bedrijf aan Verizon en werkte daar vervolgens zes jaar in diverse Europese en wereldwijde functies. Zo bouwde hij de afgelopen 30 jaar een goed begrip op van het belang van ‘vertrouwen’ als katalysator voor groei.

Vandaag werkt hij onder meer voor Agoria, Sirris, KU Leuven, de Europese Commissie en de Federale Participatie- en Investeringsmaatschappij SFPI-FPIM.

Welke ondernemingen worden onderworpen aan zo’n assessment?

Patrick: "Dit is steeds datagedreven. Het heeft dus een impact op elk bedrijf dat met data aan de slag gaat. Er wordt van je verwacht dat je zekerheid geeft over deze data en privacy.

Veel technologische start- en scale-ups krijgen via innovatietrajecten toegang tot grote organisaties. Hierbinnen lanceren en pitchen ze hun producten. Dit verloopt nog gemoedelijk. Zonder grote assessments.

Maar eens de jonge bedrijven deze fase ontgroeid zijn en hun producten willen verkopen aan deze grote organisaties krijgen ze te maken met het normale aankooptraject… met een diepgaand security assessment.

Risk managers vinden dat het superveilig moet. Ze leggen de lat steeds hoger. Vroeger gingen ze wel eens in zee met een bedrijf dat het niet zo nauw nam. Maar deze tijd is voorbij."

""
"Organisaties willen vermijden dat er datalekken zijn via systemen van hun leveranciers. Ze willen hackings voorkomen, reputatieschade vermijden, hun klanten beschermen,…", zegt Patrick Cooomans, Agoria en Sirris

Welke misvattingen leven bij wie aan een security assessment wordt onderworpen?

Patrick: "Veel bedrijven beseffen nog onvoldoende dat ze enkel nog nieuwe klanten kunnen binnenhalen als ze dit professioneel aanpakken. 

We zien dat ze vragenlijsten ad hoc invullen. Meestal is dit de taak van iemand met een CTO-profiel. Maar deze heeft dan weer niet altijd zicht op de governance en interne procedures… 

Andere misvatting is dat bedrijven denken dat ze met een ISO-certificering rond cybersecurity minder vragenlijsten moeten invullen. Dit klopt niet. Zo zegt bijvoorbeeld de standaard voor informatiebeveiliging ISO 27001 wel hoe matuur een bedrijf is. Maar omdat elk bedrijf zijn eigen assessment doet, volstaat dit niet."

Eenmaal goedgekeurd, ben je dan voor altijd een cyberveilige leverancier?

Patrick: "Nee. Je zal moeten aantonen dat je je regelmatig laat scannen en testen door externe partijen, zoals ethische hackers en cybersecurity auditkantoren. Vaak kom je overeen dat je elk half of heel jaar een rapport laat opmaken. 

Dit heet ‘continuous compliance’. Het is het ultieme doel van de cybersecurity-sector. Een eenmalige doorlichting is maar een screenshot op een bepaald moment. Maar software en systemen evolueren voortdurend. Binnen een paar maanden zit je in een heel andere situatie. Ook deze evolutie moet ingebakken zitten in het proces."

👉 Hoe je concreet de cyberbeveiliging van jouw industriebedrijf op punt stelt? Volg de masterclasses of Lerende Netwerken van onze innovatiepartners. Je vindt deze activiteiten samen met praktische kennis op industriepartnerschap.be/cybersecurity
TwitterLinkedIn