Cybersecurity: is jouw toeleveringsketen veilig?

De afgelopen jaren hebben meerdere grootschalige incidenten aangetoond hoe kwetsbaar organisaties zijn via hun IT-toeleveringsketen. Vorig jaar werd Collins Aerospace bijvoorbeeld getroffen door een cyberaanval. Hierdoor werd het inchecksysteem van verschillende grote Europese luchthavens waaronder Brussels Airport in de war gestuurd. 

Zo’n aanvallen komen niet alleen voor bij grote bedrijven en kunnen erg veel schade berokkenen: verstoringen, datalekken, reputatieschade, financiële schade, … Je eigen infrastructuur en data beschermen is dus niet voldoende. Cybercriminelen zoeken zwakke schakels in het toeleveringsecosysteem en krijgen zo toegang tot waardevolle doelwitten. Organisaties hebben echter slechts beperkte controle. Leveranciers verschillen sterk in maturiteit, middelen en prioriteiten op het vlak van cybersecurity. 

Hoe pak je dit aan?

Het volstaat niet meer om third-party risico’s ad hoc of louter contractueel te benaderen. Organisaties hebben nood aan een gestructureerd en herhaalbaar third-party risicomanagementprogramma dat aansluit bij hun bredere governance-, risico- en compliancekader. Zo’n programma combineert duidelijke beleidskeuzes met praktische maatregelen die proportioneel zijn aan het risico dat een derde partij introduceert. 

1. Creëer een volledig en actueel overzicht van derde partijen

De eerste stap wordt vaak onderschat: breng alle derde partijen waarmee de organisatie samenwerkt in kaart. Het gaat niet alleen om strategische leveranciers, maar ook kleinere dienstverleners, tijdelijke partners en IT-onderaannemers. Zonder een centraal en actueel overzicht is het onmogelijk om risico’s consistent te beoordelen of op te volgen. Leg idealiter ook vast welke data, systemen of processen elke partij kan beïnvloeden.

2. Classificeer derde partijen op basis van risico

Niet elke derde partij vormt hetzelfde risico. Door leveranciers te classificeren volgens vooraf gedefinieerde risicocategorieën – bijvoorbeeld laag, middelmatig en hoog – kunnen organisaties hun inspanningen beter prioriteren. Criteria voor deze indeling zijn onder meer de gevoeligheid van de data waartoe toegang bestaat, de mate van integratie in kritieke bedrijfsprocessen en de potentiële impact van een incident.

3. Voer gestructureerde due diligence en risicoassessments uit

Voor nieuwe samenwerkingen is een voorafgaande beoordeling bijzonder belangrijk. Dit gebeurt doorgaans via gestandaardiseerde vragenlijsten, documentreviews of audits die peilen naar het beveiligingsniveau, compliance en cyberweerbaarheid van de derde partij. Ook bestaande leveranciers moeten periodiek opnieuw geëvalueerd te worden. Door assessments te standaardiseren en te koppelen aan bestaande regelgeving ontstaat een consistent en verdedigbaar beoordelingskader.

4. Veranker beveiliging en verantwoordelijkheden in contracten

Contracten blijven een belangrijk instrument om verwachtingen vast te leggen en afdwingbaar te maken. Duidelijke afspraken over beveiligingsmaatregelen, meldingsplichten bij incidenten, auditrechten, het gebruik van onderaannemers en exitprocedures zijn essentieel. Contractuele clausules maken risico’s niet ongedaan, maar zorgen wel voor transparantie en een gemeenschappelijk referentiekader bij problemen.

5. Beperk en beheer toegang tot systemen en data

Veel third-party risico’s ontstaan door te ruime of onvoldoende gecontroleerde toegangsrechten. Pas het least privilege principe toe: geef derden alleen toegang tot wat strikt noodzakelijk is. Aanvullende maatregelen zoals multi-factor authenticatie, tijdsgebonden toegang en centrale identiteits- en toegangscontrole dragen bij aan betere beheersing en traceerbaarheid.

7. Zet in op gezamenlijke incidentrespons en communicatie

Als een incident zich voordoet, is tijd een kritische factor. Organisaties doen er goed aan om third-party scenario’s expliciet op te nemen in hun incidentresponsplannen. Dit omvat duidelijke afspraken over escalatie, communicatie en verantwoordelijkheden, zowel intern als met de betrokken derde partij. Oefeningen en simulaties helpen om deze samenwerking in de praktijk te testen.