Ken je partners:

Het risico van derden

Het is nu de tijd om dubbel in te zetten op uw beveiliging. U kunt verwachten dat er dit jaar zwaardere lijnen worden getrokken. Organisaties zullen cyberrisico’s die voortvloeien uit hun toeleveringsketens opnieuw en met grotere bezorgdheid evalueren.

Als aan bepaalde normen niet kan worden voldaan, worden er geen contracten getekend. De redenering is simpel. Er is slechts één slecht verdedigde achterdeur nodig om het voortbestaan van een bedrijf in gevaar te brengen - recentelijk nogmaals duidelijk gemaakt door het legacy file-sharing programma van Accellion en SolarWinds’ Orion netwerkbeheersoftware die de gehele keten in gevaar brachten. Profit, non-profit, educatieve instellingen, de overheid: alle organisaties zijn met elkaar verbonden. COVID-19 dwong organisaties tot meer afhankelijkheid van derden omdat ze zich haastten om aan de digitale eisen te voldoen. De opmars van CPU’s en hybride computerchips met softwarecomponenten brengt ook nieuwe risico’s met zich mee. Als één versie van een chip gecompromitteerd is, heeft een hacker opeens potentieel toegang tot duizenden organisaties. Zelfs wanneer dit allemaal al bekend is, hebben organisaties moeite om de kwetsbaarheid en veiligheid van hun toeleveringsketens daadwerkelijk te beoordelen. De statistische benadering, waarbij organisaties vertrouwen op niet-geverifieerde en niet-geteste antwoorden uit een risicobeoordeling van 500 vragen, is misschien niet langer voldoende. Dus, wat kan uw organisatie doen? Een review van de broncode van derden kan een optie zijn, maar stuit waarschijnlijk op bezwaren en gaat voor velen te ver. Misschien worden assessments en certificeringen door betrouwbare, neutrale derde partijen de best practice. Een uitgebreide beoordeling van de maatregelen, gecombineerd met risicokwantificering en verzekeringsplanning, is een begin. Maar het beheren van risico’s van derden vereist een model wat continue zekerheid biedt, met continue scans en opsporing van dreigingen, bijvoorbeeld via ‘red teaming’. Organisaties moeten ook voorbereid zijn om te reageren en moeten de juiste partner voor incident respons te kiezen. De kwaliteit varieert namelijk, en verzekeraars tonen minder flexibiliteit voor de inzet van niet-gecontracteerde of vooraf geaccepteerde partners.


Organisaties zijn niet klaar voor het adresseren en beheersen van risico’s van derde partijen.

Onderzoek de meest relevante cyberrisico’s die voortkomen uit de toeleveringsketen, wijs ze toe aan de belangrijkste beveiligingsmaatregelen en bepaal welke acties uw organisatie kan nemen om de risico’s te mitigeren


*Aon’s Cyber Quotient Evaluation (CyQu) is een cyberrisicobeoordeling die de risicovolwassenheid beoordeelt op negen kritieke domeinen. Deze domeinen zijn onderverdeeld in 35 kritieke controlegebieden.

3 | Focus op maatregelen: ransomware