Breng kroonjuwelen en spaghetti in kaart

In dit artikel:

Organisaties stoppen miljoenen in cyberbeveiliging maar lopen nog steeds schade op via leveranciersketens. Marcel Spruit, emeritus lector Cybersecurity aan De Haagse Hogeschool, waarschuwt dat contractuele afspraken en vertrouwen geen waterdichte bescherming bieden: als een cruciale leverancier wordt gehackt of uitvalt, raakt dat direct ook goed beveiligde afnemers. Voorbeelden als de Muse-aanval op luchthavensoftware en de SolarWinds-hack laten zien hoe één getroffen leverancier enorme keteneffecten kan veroorzaken.

De cloudrevolutie en toenemende digitale samenhang hebben afhankelijkheden explosief vergroot. Waar vroegere fragmentatie (systemen die niet met elkaar praatten) onbedoeld bescherming bood, vergroot huidige interoperabiliteit het supply chain-risico. Organisaties die hun hele infrastructuur naar externe cloudleveranciers verplaatsen, leggen daarmee de veiligheid deels in handen van die partijen.

Een belangrijke misvatting is dat eigen goede IT voldoende is. Spruit benadrukt dat ook bij terecht vertrouwen iets fout kan gaan en je daarop voorbereid moet zijn. Voorbereiden begint bij inzicht: wie zijn je leveranciers en onderleveranciers, welke verbindingen bestaan er en welke systemen vormen je 'kroonjuwelen'? In de praktijk blijkt die keten vaak een “spaghetti”: organisch gegroeide, dubbel gekoppelde systemen en vergeten services die moeilijk in kaart te brengen zijn en veel tijd en geld kosten om op te ruimen.

De verdeling van cybersecurity-investeringen is scheef: circa 85% gaat naar technologie, 14% naar processen en slechts 1% naar mensen — een patroon dat ook geldt bij supply chain security. Volgens Spruit ligt het echte verschil bij mensen en organisatie: wie brengt de ketens in kaart, wie sluit de juiste afspraken, wie stelt acceptatieniveaus vast en beoordeelt beveiligingskwaliteit? Grote organisaties hebben delen van die verantwoordelijkheid belegd bij bestuur, ciso en securityteams; veel mkb’ers missen die capaciteit en expertise en besteden IT vaak volledig uit. Zonder eigen kennis ontstaan onvolledige of misleidende afspraken, waardoor bedrijven denken veilig te zijn terwijl dat niet zo is.

Menselijke factoren spelen verder: bestuurders zijn soms onvoldoende geïnformeerd omdat kleine incidenten op de werkvloer worden opgelost zonder melding. Daardoor ontstaat een vals gevoel van veiligheid tot een groot incident optreedt. Spruit illustreert dat incidentmanagement en besluitvorming primair menselijke taken zijn; technologie is slechts uitvoerder.

Aanpak: verleg de nadruk van louter reactieve naar meer preventieve maatregelen bij snel groeiende supply chain-dreigingen. Preventie betekent onder andere filtering bij de poort, stevige contractuele eisen en certificeringen voor leveranciers en het beveiligen van punten waar externe data binnenkomt. Tegelijk blijven reactieve maatregelen — back-ups, uitwijk en incident-response — onmisbaar. Cruciaal advies van Spruit: “Weet wat je hebt.” Zonder goed inzicht in je assets, leveranciers en verbindingen kun je risico’s niet inschatten en mis je prioriteitstelling — in de huidige context is dat volgens hem simpelweg Russische roulette.