4 BELANGRIJKE INZICHTEN VAN HET DORA SUPPLY CHAIN EVENEMENT
Supply Chain Security is een belangrijk onderdeel van DORA, de Digital Operation Resilience Act voor de financiële sector. Secura organiseerde een evenement waar we de uitdagingen bespraken die komen kijken bij de DORA-vereisten voor de supply chain.
INZICHTEN VAN DORA SUPPLY CHAIN EVENEMENT
Download de Samenvatting van het Evenement - DORA Supply Chain Management voor de Financiële Sector
DownloadVragen die we besproken hebben
✔ Hoe om te gaan met de grote leveranciers die geen ruimte bieden in contracten?
✔ Moeten we elke leverancier opnemen in ons risicobeheer? En in onze aanpak?
✔ Hoe om te gaan met lopende contracten?
✔ Moeten we kritieke applicaties opnemen in onze tests voor operationele veerkracht?
✔ 'We zijn al ISO27001 gecertificeerd' / 'we zijn al NIS1-compliant' / 'we volgen een kader zoals NIST of de Goede Praktijken voor informatiebeveiliging': zijn we klaar voor DORA?
Takeaway 1: Tijdens een aanval op de supply chain is transparante communicatie cruciaal
Alan Lucas, huidig CISO bij Homefashion Group en voormalig CISO bij LiteBit, deelde waardevolle inzichten uit zijn tijd in de cryptocurrency sector. Bij LiteBit, was het dagelijks een taak om grote sommen geld te beveiligen tegen cyberdreigingen, wat werd bemoeilijkt door de significante transactievolumes en de inherente behoefte aan anonimiteit, alles binnen een licht gereguleerde omgeving.
LiteBit's toewijding aan goede cybersecurity praktijken werd op de proef gesteld toen een belangrijke leverancier slachtoffer werd van een cyberaanval, waardoor LiteBit blootgesteld werd aan potentiële dreigingen. Dit incident herinnerde ons aan het belang van het beveiligen van elk onderdeel van de supply chain.
Alan deelde enkele lessen over hoe zij deze supply chain aanval aangepakt hebben:
- Transparante communicatie tussen de leverancier
en de klant.
Betrek vanaf het begin het juiste incident response team. - Betrek de incident response teams van beide
kanten in uw crisisteam. Anders heeft u twee
zwarte dozen, samenwerking is cruciaal.
Correleer logs en gegevens van beide partijen om een volledig overzicht te krijgen. - Communiceer zo vroeg mogelijk. Vraag (contractueel) van uw leveranciers dat ze incidenten zo snel mogelijk melden.
Takeaway 2: De auto-industrie kan dienen als voorbeeld voor het krijgen van supply chain security op orde
Razvan Venter, van Secura’s Manufacturers markt groep, deelde enkele inzichten over hoe de auto-industrie de supply chain security benadert. Deze sector loopt voor op andere sectoren in dit gebied, aangezien ze altijd zwaar afhankelijk zijn geweest van hun leveranciers om hun producten te vervaardigen. De industrie houdt zich aan cybersecurity regelgeving R155/R156, vastgesteld door UNECE.
Deze regelgeving bestrijkt een reeks gebieden inclusief algemene vereisten, hardware, software/firmware, en service back-end software, samen met updates. Razvan heeft geholpen met het creëren van een leveranciersprogramma met een van Europa's top autofabrikanten. Het werd getest met een pilot involving 42 leveranciers in productie, cloud diensten, en back-end applicatieontwikkeling.
Razvan deelde enkele van zijn belangrijkste lessen met ons:
- Het duurde meer dan een jaar om de pilotgroep van 42
leveranciers compliant te krijgen met de nieuwe
eisen.
Een langetermijnvisie is noodzakelijk.
Duidelijkheid van eisen en constante communicatie zijn essentieel. - Begrijp dat dit geen eenmalig project is, maar
eerder een doorlopend proces van verbeteringen en
aanpassingen.
Het is van cruciaal belang om continue samen te werken met uw leveranciers en de standaarden samen te ontwikkelen en aan te passen. - Zorg ervoor dat er consequenties zijn verbonden aan het niet naleven van de eisen. Dit zorgt voor een zeker niveau van engagement en motivatie om te voldoen aan de cybersecurity eisen.
Takeaway 3: Zelfs als u goed beschermd bent, kunt u nog steeds gehackt worden, dus pentesten is belangrijk
Michael Schouwenaar van Secura bood een technisch perspectief op de complexiteit van het verdedigen tegen cyberaanvallen, vooral bij het gebruik van tools van derden. Hij illustreerde dit met een incident waarbij een internetbankierplatform werd gecompromitteerd via een pakketbeheertool.
Ondanks dat ontwikkelaars vaak afhankelijk zijn van externe bronnen voor besturingssystemen, ontwikkelingsframeworks en bibliotheken, had de bank strikte cybersecuritymaatregelen op zijn plaats. Desondanks slaagden aanvallers erin een kwaadaardig pakket te uploaden, dat vervolgens door de pakketbeheertool van de bank onbedoeld werd verspreid binnen het banksysteem, waarbij gevestigde beveiligingsprotocollen werden omzeild.
Gelukkig werd deze zwakte ontdekt tijdens een penetratietest, wat het kritieke belang van beveiligingstesten voor tools van derden onderstreept die essentieel zijn voor kritieke processen.
Takeaway 4: Nauwe samenwerking met uw leveranciers op het gebied van beveiliging is cruciaal
Jelle Groenendaal en Bram Ketting, van 3rd Risk, hebben inzichten gegeven in het belang van third-party risk management binnen supply chains, waarbij de relevantie wordt benadrukt, niet alleen voor cybersecurity maar ook voor duurzaamheid, geopolitiek, schaarste aan hulpbronnen en naleving van regelgeving.
Hoewel DORA zich richt op entiteiten onder contractuele overeenkomst, wijzen Jelle en Bram op het bredere spectrum van third-party relaties, zoals allianties, partners, resellers, agenten, distributeurs en klanten, die ook risico's kunnen introduceren.
Samenwerking met derde partijen is vaak noodzakelijk voor gespecialiseerde expertise of innovatie ondanks deze risico's. Jelle en Bram zien een toenemende afhankelijkheid van derde partijen terwijl beveiligingsteams de neiging hebben zich te concentreren op interne assets en procedures, wat een potentieel disconnect benadrukt.
Dit is vooral zorgwekkend gezien tot 60% van de datalekken vandaag de dag gelinkt zijn aan derde partijen. Een evenwichtige aanpak voor het beheren van zowel interne als externe beveiligingsrisico's wordt cruciaal.
Jelle en Bram hebben enkele inzichten gedeeld uit hun ervaringen die ze vele jaren in dit veld hebben opgedaan:
- Begin vanaf het begin met een schaalbare methodologie.
- Denk aan risico, niet alleen aan naleving.
- Werk samen met uw leveranciers om hen te begrijpen. Gooi niet zomaar een spreadsheet "over de schutting"
- Vertrouw niet alleen op beoordelingen en ratings.
- Vermijd spreadsheets.
- Er is geen wondermiddel.
Download de volledige samenvatting (pdf)
Enorm bedankt aan Eward Driehuis voor het zijn van een geweldige host, aan Bram Ketting en Jelle Groenendaal voor het delen van hun inzichten in risk management, aan Alan Lucas voor het doorlopen van een aanval op een supply chain.
Meer Informatie
Wilt u meer weten over Supply Chain Security en DORA? Vul het formulier in en wij nemen binnen één werkdag contact met u op.
OVER SECURA
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.
Waarom kiezen voor Secura | Bureau Veritas
Het doel van Secura/Bureau Veritas is om uw vertrouwde partner in cybersecurity te zijn. Wij gaan verder dan snelle oplossingen en geïsoleerde diensten. Onze geïntegreerde aanpak zorgt ervoor dat elk aspect van uw bedrijf of organisatie cyberweerbaar is, van uw technologie tot uw processen en uw mensen.
Secura is de cybersecuritydivisie van Bureau Veritas, gespecialiseerd in testing, inspection en certification. Bureau Veritas werd opgericht in 1828, heeft meer dan 80.000 werknemers en is actief in 140 landen.