Samenvatting

Al jarenlang roepen cybersecurity-experts hetzelfde: het is nodig dat mkb-ondernemers structureel aandacht besteden aan cybersecurity. Ondernemingen zijn in toenemende mate afhankelijk
van digitale middelen. Uitval van deze middelen of schade aan digitale informatie zijn daarmee reëlerisico’s die een grote impact kunnen hebben op de bedrijfsvoering. Ook neemt de dreiging toe. Cybercriminelen gaan dusdanig professioneel te werk dat de kans op incidenten met veel impact steeds groter wordt. Bijvoorbeeld door het uitvoeren van aanvallen waarbij ze via een bedrijf diens klanten compromitteren. Ook zien we bijvoorbeeld dat cyberspionnen zich steeds vaker richten op economische belangen en daarmee op het bedrijfsleven. Als mkb-bedrijven toeleverancier zijn van grotere ondernemingen heeft hun cyberweerbaarheid in sommige gevallen direct invloed op de weerbaarheid van die grotere organisaties. Denk aan de recente aanval van een ransomware groepering op het bedrijf Kaseya, die de klanten van Kaseya rechtstreeks raakte . Door misbruik van een kwetsbaarheid in de software van Kaseya raakt een grote groep klanten besmet met ransomware. In toenemende mate maken grotere organisaties zich terecht druk over dit soort afhankelijkheden die zij hebben in de keten van bedrijven waarmee zij samenwerken. Sommige van hen zijn initiatieven gestart onder het motto ‘groot helpt klein’. Daarin worden bijvoorbeeld toeleveranciers opgeleid in basismaatregelen of mogen zij ge1. https://nos.nl/artikel/2387724-zeker-200-bedrijven-getroffen-door-grote-ransomware-aanval2. https://fd.nl/ondernemen/1383893/asml-geeft-zijn-leveranciers-bijles-over-het-weren-van-hackers gebruik maken van de cybersecurityexpertise van de grote partijen. Het is goed te zien dat er aandachtis voor het bieden van hulp en ondersteuning. Aan de andere kant zijn er ook ondernemingen die meer eisen en voorwaarden willen stellen om zekerheid in te bouwen. Het lab boog zich over de vraag op welke wijze een keten van bedrijven versterkt moet worden om de cyberweerbaarheid te verhogen tegen redelijke kosten en kwam tot een belangrijk inzicht. Als we willen dat de weerbaarheid van een keten groter wordt dan houdt dit onder andere in dat
de individuele schakels in de keten ieder zelf hun weerbaarheid zullen moeten verhogen. Concreet betekent dit dat zij ervoor moeten zorgen dat ze de digitale infrastructuur die zij gebruiken bij het leveren van hun eigen producten en diensten goed hebben beveiligd. Deze infrastructuur bestaat veelal uit ingekochte producten en diensten, zoals routers, servers, software, enz. Als die als vanzelfsprekend veilig zouden zijn, dan zou de weerbaarheid van elke schakel in de keten enorm toenemen. Echter, deze is nu niet vanzelfsprekend veilig. En dus moeten organisaties die behoefte aan vanzelfsprekende veiligheid expliciet gaan maken. Dit overstijgt dus de ketenspecifieke issues, maar is wel de essentie van waar we in de toekomst naar toe zouden moeten. Daarnaast zijn er ook specifieke acties in de keten mogelijk, waardoor de weerbaarheid van de gehele keten kan worden versterkt.