Orange Cyberdefense: schijnzekerheid in ketenbeveiliging grootste risico
Veel organisaties behandelen ketenbeveiliging nog als een administratieve taak. “Maar wie zich daarachter verschuilt, bouwt alleen maar schijnzekerheid op”, waarschuwt Matthijs van der Wel-ter Weel, Strategic Advisor bij Orange Cyberdefense. Hij pleit voor een drastische omslag in het denken over cybersecurity: van beveiligingseisen per contract naar echte ketensamenwerking. “Organisaties die nu niet transparant en realistisch worden over hun leveranciersrisico’s, nemen onaanvaardbare risico’s.”
Nieuwe regelgeving zoals NIS2 verplicht organisaties niet alleen hun eigen digitale weerbaarheid op orde te brengen, maar ook die van hun leveranciers kritisch te toetsen. In de praktijk blijkt dat nog een flinke uitdaging. Uit onderzoek van ENISA blijkt bijvoorbeeld dat supplychainsecurity het zwakste onderdeel vormt van de NIS2-voorbereiding, met een readiness-score van slechts 37 procent.
“Je kunt niet van elk mkb-bedrijf verwachten dat ze een volwassen cybersecuritysysteem inrichten”, zegt Van der Wel-ter Weel. “Toch stellen we eisen die zelfs voor grotere organisaties lastig zijn. Dat leidt tot schijnzekerheid: er staan mooie afspraken op papier, maar de feitelijke weerbaarheid ontbreekt.”
De illusie van juridische controle
Grote organisaties proberen hun cybersecurityrisico’s in te dammen met contractuele bepalingen, certificeringsplicht en beleidsclausules. Ze geven vaak het recht deze te (laten) auditen, maar daar komt in de praktijk doorgaans weinig van terecht. Zonder begeleiding, tooling, daadwerkelijke controle of gezamenlijke aanpak leveren die garanties zelden échte vooruitgang op. “Het idee dat je risico’s kunt afdekken met juridische teksten is hardnekkig, maar misleidend”, aldus Van der Wel-ter Weel.
Koerswijziging noodzakelijk
Van der Wel-ter Weel vindt het tijd voor een koerswijziging: van contractbeveiliging naar ketensamenwerking. “Cybersecurity moet niet alleen een inkoopvoorwaarde zijn, maar een gedeeld belang. De vraag is niet óf je eisen stelt, maar hoe je zorgt dat leveranciers die ook daadwerkelijk kunnen naleven.”
Drie adviezen voor organisaties die hun keten echt weerbaarder willen maken:
1. Stel eisen die je kunt toetsen en ondersteunen
Organisaties moeten beginnen bij de vraag: zijn onze eisen realistisch voor de leveranciers waarmee we werken? Veel mkb’ers hebben geen CISO, geen securityteam en geen budget voor ISO-certificering. Juist grote organisaties kunnen hier het verschil maken, door hun rol als opdrachtgever actief te benutten.
Zorg voor duidelijke, behapbare eisen die je kunt uitleggen en controleren. Bied ondersteuning waar nodig, bijvoorbeeld met eenvoudige onboardingprogramma’s, gezamenlijke assessments, een kennisportaal of een helpdesk. Zo voorkom je dat eisen vrijblijvende formaliteiten blijven en bouw je aan een sterkere, betrouwbaardere keten.
2. Vertaal beleid naar controleerbare praktijk
Contractteksten vol abstracte normen bieden weinig houvast. Wat betekent ‘passende maatregelen nemen’ in de praktijk? Vraag in plaats daarvan om concrete, verifieerbare informatie: hoe krijgt een leverancier toegang tot jouw systemen? Hoe snel worden patches uitgerold? Zijn medewerkers getraind in phishingherkenning?
Maak die vragen werkbaar door leveranciers te helpen met formats, eenvoudige zelfscans of verantwoordingstemplates. Dat verlaagt de drempel, voorkomt ruis in de communicatie en maakt het makkelijker om risico’s te identificeren en te monitoren. Zo wordt ketenbeheer minder een juridische check en meer een gestructureerd verbeterproces.
3. Neem ketenbeveiliging structureel op in je programma en begroting
Organisaties investeren miljoenen in hun eigen cybersecurity; van SOC’s en SIEM-tools tot threat intelligence en incidentresponse. Maar de voor de corebusiness essentiële leveranciers die via API’s of remote access verbonden zijn met kernsystemen, vallen vaak buiten beeld. Dat is niet alleen inconsequent, maar ook gevaarlijk.
Maak ketenweerbaarheid een structureel onderdeel van je securitystrategie. Reserveer budget voor gedeelde tooling (zoals kwetsbaarheidsscans of logmonitoring), awarenesscampagnes, phishingtests of security-as-a-service voor de meest risicovolle leveranciers. Deel waar mogelijk je eigen dreigingsinformatie, formats of trainingstrajecten. Niet als gunst, maar als strategische investering in je digitale ecosysteem.
Facilitering cruciaal
“De zwakste schakel in je keten bepaalt uiteindelijk je risico”, stelt Van der Wel-ter Weel. “Als je die schakel negeert, of alleen aanspreekt zonder ondersteuning, vergroot je het probleem in plaats van het op te lossen. Organisaties die echt werk willen maken van ketenbeveiliging, moeten stoppen met afvinken en beginnen met faciliteren.”
Meer over
Lees ook
Wat is Microsoft GDAP-beveiliging precies?
De beveiliging van cloudomgevingen is belangrijker dan ooit. Organisaties die werken met Microsoft-oplossingen zoals Azure, Microsoft 365 of Dynamics, willen de juiste balans vinden tussen veiligheid en efficiënt beheer. Granular Delegated Admin Privileges (GDAP) helpt daarbij
FireMon breidt de ondersteuning voor zero trust microsegmentatie uit door integratie met Illumio, VMware NSX en Zscaler
FireMon, aanbieder van oplossingen voor het beheer van de netwerkbeveiliging en firewall-regels, maakt vandaag bekend dat het zijn ondersteuning voor zero trust microsegmentatie binnen hybride omgevingen heeft uitgebreid. Dit is te danken aan een hechtere integratie met Illumio
WatchGuard versnelt platformontwikkeling met reeks innovaties in vier strategische domeinen
WatchGuard Technologies zet een duidelijke stap in de verdere uitbouw van zijn Unified Security Platform. De beveiligingsspecialist presenteert in korte tijd meerdere nieuwe producten, integraties en erkenningen die het fundament vormen van zijn vier innovatiegebieden: Security Without Boundaries, Zero Trust Built In, AI-Augmented Security en een1