Incidenten als die met CrowdStrike deze zomer of de ransomware-aanval bij Kaseya in 2021 laten goed zien hoe kwetsbaar een keten kan zijn als er bij één partij iets misgaat. Cybersecurity wordt daarmee van steeds groter belang. Om dat echt goed aan te pakken, zijn ecosystemen nodig, vindt Bart van der Linden, directeur van het Digital Ecosystems Institute (DEI). Niet alleen in het ecosysteem rond toelevering, maar ook in security zelf.
Tekst: Eveline Meijer
In digitale ecosystemen werken diverse organisaties samen aan een gezamenlijk doel. Bij ProRail werken partners samen om het verkeer op het spoor zo goed mogelijk te laten verlopen, het UWV wil met zijn partners uitkeringsgerechtigden zo goed mogelijk van dienst zijn en ketenpartners DUO, het ministerie van Onderwijs, Cultuur en Wetenschap en Cito willen docenten en studenten van het voorgezet onderwijs zo goed mogelijk helpen met digitale examens.
Net als het gemiddelde bedrijf zijn ook dit soort partijen kwetsbaar voor cybercriminaliteit, storingen en andere incidenten. Cybersecurity is dus van groot belang. Maar hoewel security als een verenigd iets klinkt, zijn dit ook losse delen in een groter geheel. “Je ziet steeds vaker dat er verschillende partijen ingehuurd worden bij organisaties. Denk aan een Security Operations Center (SOC), netwerkbeveiliging en pentesters”, zegt Van der Linden. “Maar cybersecurity gaat door alle kavels heen. Dus de ene securitypartij gaat met de andere dienstverleners te maken krijgen.”
Het vormen van een ecosysteem rondom security binnen een opdrachtgever kan dan helpen, meent hij. “Daarmee realiseer je een relatie tussen de partijen en kun zorgen dat zij data gaan delen met elkaar.” Juist door onderling data te delen, kun je de beveiliging immers opschroeven. Iemand die vanaf een andere locatie inlogt, hoeft niet direct reden voor alarm te zijn. Maar combineer zo’n signaal vanuit het netwerk met abnormaal gedrag in de verdere systemen of verzoeken om nieuwe inloggegevens bij de helpdesk, en je ziet dat er mogelijk meer aan de hand is.
Ook de keten beveiligen
Eenzelfde aanpak is nodig voor partijen die met elkaar samenwerken in de toeleveringsketen, wat in feite ook een ecosysteem is. Met de Europese regelgeving NIS2 zijn organisaties namelijk niet alleen verantwoordelijk voor het identificeren en beperken van de risico’s in de eigen organisatie, maar ook van de risico’s die voortkomen vanuit de keten van toeleveranciers. “Als je je daar niet aan houdt, sta je vrij snel buiten spel.”
Volgens Van der Linden is ook bij dit soort ketens van belang dat er een ecosysteem wordt opgezet waarbinnen data gedeeld wordt. Zelfs op regioniveau kan op zo’n manier gewerkt worden om belangrijke organisaties te beveiligen. “Kijk naar het Cyberweerbaar Ecosysteem Breda. Daar zitten de politie, de gemeente, de brandweer, de veiligheidsregio’s en een paar bedrijven bij elkaar, om te praten hoe ze bijvoorbeeld het ziekenhuis of andere organisaties veiliger kunnen maken. Wat is het minimale kennisniveau wat nodig is binnen die organisaties überhaupt weerbaar te maken? Welke interventies moeten we inzetten om zaken mogelijk te maken? Daar wordt het gesprek echt aangegaan.”
Meer weten over cybersecurity in ecosystemen?
iBestuur organiseert op 23 oktober zijn jaarlijkse Security & Overheid-congres. Bart van der Linden vertelt daar meer over de spelregels van een veilig digitaal ecosysteem.
Meer over dat congres vind je hier. Daar is het ook mogelijk om je te registreren voor het evenement.
Cultuuromslag nodig
De vraag is: hoe zet je zo’n ecosysteem dan op? Het uitwisselen van data ligt vaak gevoelig, zeker als de data naar eventuele concurrenten gaan. Daarom is het belangrijk dat de organisatie om wie het ecosysteem draait, een ecosystemische cultuur inricht, zegt Van der Linden. Dat begint met een regelmatig overleg tussen de verschillende serviceproviders, met de behoeften van de CISO van de uitbesteder als uitgangspunt. “Dat klinkt logisch, maar het gebeurt nog niet zo vaak”, ziet Van der Linden. “Maar op zo’n manier kun je wel een governance-model inrichten ten behoeve van het ecosysteem en de beveiliging van dat ecosysteem.”
“De volgende stap is – en dat is vaak een lastige – dat er data gedeeld wordt. Dus dat degene die van de SOC-partij is, ook de data van het Network Operations Center kan krijgen. Op die manier kan degene die verantwoordelijk is voor het security-ecosysteem alle data verzamelen.”
Uiteindelijk ontstaat op die manier een ecosysteem waarbij van bepaalde standaarden wordt uitgegaan. “Daardoor ga je ook kiezen voor serviceprovider X in plaats van serviceprovider Y, omdat X nu eenmaal meer focus heeft op dat securitystuk. Er ontstaat een cultuur van Security by Design.”