Kunnen Amerikaanse toeleveringsketens worden gered van cyberaanvallen?

In februari ondertekende president Joe Biden Executive Order 14017, waarin werd opgeroepen tot een uitgebreide herziening van kritieke Amerikaanse toeleveringsketens. De actie was een reactie op een tekort aan medische benodigdheden, zoals persoonlijke beschermingsmiddelen (PBM) voor eerstelijns gezondheidswerkers tijdens het hoogtepunt van de COVID-19-pandemie. Andere behoeften die door de bestelling werden geïdentificeerd, waren onder meer halfgeleiderchips voor de auto-industrie en andere hightech-toepassingen.

Deze problemen belemmeren het vermogen van Amerikanen om essentiële producten te verkrijgen en creëren instabiliteit voor werknemers in getroffen industrieën. Het doel van de nieuwe orde is volgens het Witte Huis om dergelijke problemen proactief aan te pakken voordat ze zich opnieuw voordoen.

"Hoewel we niet kunnen voorspellen welke crisis ons zal treffen, moeten we de capaciteit hebben om snel te reageren op uitdagingen", zei het Witte Huis. "De Verenigde Staten moeten ervoor zorgen dat productietekorten, handelsverstoringen, natuurrampen en mogelijke acties van buitenlandse concurrenten en tegenstanders de Verenigde Staten nooit meer kwetsbaar maken."

De campagne van de president maakte duidelijk dat zijn regering vastbesloten is om de risico's van de toeleveringsketen uitgebreid aan te pakken. Maar zal het initiatief slagen?

Vanuit veiligheidsoogpunt zijn er een aantal zaken waarmee de administratie rekening moet houden. Als u dit niet doet, leidt dit tot dubbele tijd en moeite, verspilling van middelen en het niet beperken van cyberrisico's die kunnen leiden tot een nieuwe aanval in de toeleveringsketen.

De eerste stap om de veiligheid van Amerikaanse toeleveringsketens te waarborgen, is het identificeren van hun kwetsbaarheden en risico's. Het uitvoerend bevel van Biden richt zich op zes sectoren:de defensie-industriële basis, volksgezondheid, informatietechnologie en communicatie, energie en energie, transport en landbouw.

Het vertrouwen van toeleveringsketens op digitale producten en diensten heeft geleid tot ernstige kwetsbaarheden, waardoor cyberbeveiliging een essentieel onderdeel van de beoordeling is geworden. De angst dat een natiestatelijke actor zou kunnen besluiten de toeleveringsketen via cybercriminaliteit op te houden, is reëel. Paragraaf 4.4 van het Uitvoeringsbesluit maakt duidelijk dat cyberrisicobeheersing een belangrijk aandachtspunt en aandachtsgebied is. Binnen een jaar moeten rapporten worden ingediend over de huidige staat van de afhankelijkheid van toeleveringsketens van concurrerende landen. Hoe de overheid de informatiebeveiligingsgemeenschap voor dit doel betrekt, zal het initiatief in alle sectoren maken of breken.

Zorgen voor resultaten in één jaar

De onderneming bestrijkt een groot gebied voor een periode van één jaar. Het is van cruciaal belang dat de informatiebeveiligings- en technologiegemeenschap, puttend uit lessen van het afgelopen jaar, input levert aan de partijen die het initiatief aandrijven. De inspanningen van branchegroepen zoals informatie-uitwisselings- en analysecentra (ISAC's) en de IT Sector Coordinating Council (ITSCC) zullen de kern van succes zijn. Daarnaast komt er een berg aan data en analyses uit de vier grote adviesbureaus aan welke risico's prioriteit moeten krijgen bij het omgaan met derden.

Het Amerikaanse ministerie van Defensie zou een sleutelrol moeten spelen bij de naadloze uitrol van het initiatief. Een vergelijkbare inspanning waar DOD toezicht op houdt, is de Cybersecurity Maturity Model Certification (CMMC), waarbij leveranciers van door de overheid gecontracteerde materialen aan specifieke normen moeten voldoen. Een belangrijk advies, gebaseerd op de publieke en private reactie op de CMMC tot dusver, is om zoveel mogelijk een vermenging van gunnings- en beoordelingsprocessen voor contracten te vermijden. Leiders in de sector en overheidsinstanties moeten samenwerken om eenvoudigweg te beslissen over een eenvoudige maar effectieve standaard voor cyber in de verschillende toeleveringsketens.

Het belang van standaardisatie

Het creëren van de juiste partnerschappen en het verkrijgen van input van informatiebeveiligingsexperts is één ding, maar zorgen voor een grotere volwassenheid op het gebied van cyberbeveiliging in de Amerikaanse toeleveringsketens is iets heel anders. Communicatie is het enige element dat nieuwe vereisten kan maken of breken wanneer het wordt uitgerold naar een dergelijk groot ecosysteem. Het wordt aangedreven door metingen, met gestandaardiseerde resultaten voor groepen, ongeacht hun niveau van cyberbeveiligingsvolwassenheid. Normen zoals de subcategorie NIST CSF Supply Chain Risk Management of de eerder genoemde CMMC zijn geweldige hulpmiddelen om vereisten duidelijk te maken en effectief te implementeren in supply chains. De cyber-assessmentmethodologieën onder NIST CSF zijn vooral waardevol om context te bieden aan leveranciers met weinig kennis van informatiebeveiliging.

Als het op meten aankomt, is het onmogelijk om alle potentiële risico's in Amerikaanse toeleveringsketens uit te spelen, gezien de complexiteit van wereldwijde toeleveringsketen-ecosystemen. Het is niettemin waardevol om scenario's te identificeren die verschillende potentiële faalpunten onderzoeken. Het op creatieve manieren benutten van bestaande methoden voor risicokwantificering is essentieel om echte veerkracht te bereiken. Het is essentieel dat bedrijven supply chain-risico's begrijpen als een middel om goed bestuur te bereiken, gebruikmakend van input van beveiligingsteams, het delen van gegevens en informatie en vooruitgang in risicobeheersoftware.

Je kunt alleen maar hopen dat het supply chain-initiatief van Biden zal profiteren van bestaande gegevens van gebeurtenissen in het verleden en voorspellende analyses over de toekomst. Kan de hele supply chain worden gebenchmarkt en alle kwetsbaarheden in één jaar worden geïdentificeerd? En kunnen we het ernstige cyberrisico in Amerikaanse toeleveringsketens verkleinen? Dat valt nog te bezien.

Padraic O'Reilly is mede-oprichter en chief product officer van CyberSaint.