Toeleveringsketens vormen cyberbeveiligingsrisico's, meldt rapport

Toeleveringsketens creëren cyberbeveiligingsrisico's voor bedrijven, volgens een rapport van een beveiligingsservicebedrijf.

Het in New York gevestigde BlueVoyant zei dat het meer dan 1.500 CIO's, CISO's en CPO's in vijf landen heeft ondervraagd. Die leidinggevenden zijn werkzaam in verschillende sectoren, waaronder de maakindustrie.

Het rapport zei dat 80 procent van de respondenten "een inbreuk had opgelopen" via de toeleveringsketen. De meesten van hen "hadden minstens twee inbreuken opgelopen en één op de tien had meer dan zes geleden."

Het adviesbureau zei dat 29 procent van de respondenten "zei dat ze niet konden weten of een risico zich voordeed bij een externe leverancier" totdat er een inbreuk plaatsvond. "Dergelijke organisaties vliegen in feite blind."

"Het probleem van daadwerkelijke verstoringen van de toeleveringsketens is een reëel probleem", zei Jim Penrose, COO van BlueVoyant, in een interview.

Penrose zei dat grote fabrikanten hun leveranciers moeten helpen met cyberbeveiliging.

"We zijn allemaal van elkaar afhankelijk", zegt hij. "Veel van de kleine jongens hebben misschien geen beveiligingspersoneel."

Volgens BlueVoyant zei slechts 23 procent van de respondenten dat ze al hun leveranciers controleren, terwijl 19 procent zei dat ze alleen kritieke leveranciers controleren.

"Dit laat een lang spoor van leveranciers achter die volledig ongecontroleerd zijn, met risico's die op een bepaalde dag uit een van hen kunnen voortvloeien", aldus het rapport.

Penrose zei dat bedrijven, waaronder fabrikanten, met specifieke tussenpozen beoordelingen uitvoeren.

"De eerste stap is dat je moet veranderen van dit periodieke beoordelingsmodel", zei hij. "Die periodieke beoordeling is gewoon te traag."

Volgens het BlueVoyant-rapport voert slechts 2 procent van de respondenten realtime of dagelijkse monitoring uit, terwijl slechts "een op de tien" elke week beoordelingen uitvoert. In het rapport staat dat "een vijfde het cyberrisico elk kwartaal beoordeelt." Dit alles is te vergelijken met 'het snel veranderende landschap van cyberdreigingen'.

Bedrijven moeten zich afvragen:"Hoe verkleinen we het risico elke dag?" zei Penrose in het interview.

"Organisaties zijn niet altijd openhartig met leveranciers als ze een probleem ontdekken", aldus het rapport. Van de respondenten "informeert 36 procent de leverancier en hopen dat ze het probleem oplossen, terwijl hetzelfde percentage op de leverancier vertrouwt om voor voldoende beveiliging te zorgen."

Een deel van het rapport ging specifiek over productie.

Het Industrial Internet of Things (IIoT), waar productiemachines met elkaar communiceren, veroorzaakt meer cyberrisico's, aldus het adviesbureau. De "potentiële gevolgen van cyberaanvallen die het IIoT geheel of gedeeltelijk uitschakelen of er gegevens uit halen, nemen toe", aldus het rapport.

Het adviesbureau ondervroeg 250 leidinggevenden in de maakindustrie. Van die respondenten zei 57 procent dat ze de afgelopen 12 maanden te maken hebben gehad met een cyberinbreuk in hun toeleveringsketen. Ook zei 82 procent dat ze niet alle leveranciers controleren op cyberrisico's.