Aanbevelingen voor vervolg- vervolg-onderzoek

Op basis van dit onderzoek doen wij de volgende aanbevelingen voor vervolgonderzoek.

5.2.1 Onderzoek andere ketens of sectoren

Vervolgonderzoek zou zich kunnen richten op

keten-gerelateerde dreigingen, kwetsbaarheden en geleerde lessen op het gebied van cyberveiligheid binnen andere ketens in de onderzochte sectoren of in andere economische sectoren. Dit is nodig om de bevindingen van de huidige studie te verstevigen.

De huidige steekproef van ketens is, vanwege het geringe

aantal, namelijk niet representatief voor alle ketens, waardoor het onduidelijk is in hoeverre de huidige resultaten gelden voor ketens binnen en buiten de onderzochte sectoren. Neem hierin ook het onderscheid in verschillende soorten ketens mee, zoals geïdentificeerd in dit onderzoek (zie paragraaf 2.1).

Onderzoek bijvoorbeeld of keten-gerelateerde dreigingen en kwetsbaarheden verschillen voor toeleveringsketens en informatieketens.

5.2.2 Bewerkstelligen van cyberveiligheid in de samenwerking met leveranciers

Onderzoek hoe bedrijven cyberveiligheid (contractueel) kunnen bewerkstelligen in de samenwerking met leveranciers (supplier assurance). Zo is het de vraag welke eisen er in het contract met partners gesteld moeten worden om risico’s voldoende af te dekken en wat de rol van vertrouwen daarbij is. Focus hierbij met name op kleine leveranciers of klanten - waarbij ICT niet de corebusiness is - en welke vorm de samenwerking met dergelijke partijen zou moeten hebben, aangezien die als risicovol worden beschouwd voor de keten.

5.2.3 Rol van ICT-dienstverleners

Uit dit onderzoek komt naar voren dat ICT-dienstverleners als leverancier een belangrijke rol spelen bij cyberveiligheid in de keten. Het is echter nog onduidelijk hoe die rol precies bijdraagt aan meer cyberweerbaarheid van de keten en hoe zich dit verhoudt tot de taken die bedrijven zelf hebben op het gebied van security. Vervolgonderzoek zou zich kunnen richten op de verantwoordelijkheden van ICT-dienstverleners en afnemers van deze diensten binnen de keten en hoe samenwerking tussen die partijen efficiënt kan worden ingericht.

5.2.4 Nadere analyse op het fenomeen stepping stone-aanval

Een belangrijke dreiging voor ketens is een stepping stone-aanval. Respondenten benoemen dat kleine ketenpartners een ‘stepping stone’ kunnen zijn voor cybercriminelen om een aanval uit te voeren op de keten. Dit fenomeen is echter verder niet onderzocht. Zo is het niet duidelijk op welke manier een ketenaanval via kleine ketenpartners plaatsvindt, in welke mate een keten daar schade van ondervindt en hoe een dergelijke aanval voorkomen kan worden. Meer kennis over dit onderwerp kan gebruikt worden om ketens van bedrijven te versterken en het risico op cyberincidenten te verkleinen.

REFERENTIES

Accenture (2019). Cyber Threatscape Report. Geraadpleegd van https://www.accenture.com/_acnmedia/PDF-107/Accenture-securitycyber.pdf#zoom=50.

Allianz (2019). Allianz Risk Barometer. Geraadpleegd van https://www.agcs.allianz.com/news-and-insights/news/

allianz-risk-barometer-2019.html.

Boyes, H. (2015). Cyberveiligheid and cyber-resilient supply chains. Technology Innovation Management Review, 5(4), 28.

Christopher, M., & Peck, H. (2004). Building the resilient supply chain. International Journal of Logistics Management, 15(2), 1–13.

Cappelli, D. M., Moore, A. P., & Trzeciak, R. F. (2012). The CERT guide to insider threats: how to prevent, detect, and respond to information technology crimes (Theft, Sabotage, Fraud). Addison-Wesley.

Collier, Z. A., Hassler, M. L., Lambert, J. H., DiMase, D., & Linkov, I. (2019). Supply Chains. In A. Kott & I. Linkov (Red.), Cyber Resilience of Systems and Networks (pp. 447-462). Springer, Cham.

Davis, A. (2015). Building cyber-resilience into supply chains. Technology Innovation Management Review, 5(4).

Evans, N., Horsthemke, W. (2019). Analysis of Dependencies. In A. Kott & I. Linkov (Red.), Cyber Resilience of Systems and Networks (pp. 93-106). Springer, Cham.

Finch, P. (2004). Supply chain risk management. Supply Chain Management: An International Journal, 9(2), 183 – 196.

Ghadge, A., Weib, M., Caldwell, N., & Wilding, R. L. (2019). Managing cyber risk in supply chains:

A review and research agenda. 

Gunasekaran, A., & Ngai, E. W. (2004). Information systems in supply chain integration and management. 

European journal of operational research, 159(2), 269-295.

Fiksel, J., Polyviou, M., Croxton, K. L., & Pettit, T. J. (2015). From risk to resilience: Learning to deal with disruption. MIT Sloan Management Review, 56(2), 1–8.

Hollnagel, E. (2015). Introduction to the Resilience Analysis Grid (RAG). http://erikhollnagel.com/onewebmedia/

RAG%20Outline%20V2.pdf

Hughes, A., Balasescu, M. and Balasescu, S. (2008). The role and importance of information technology in the supply chain management. Bulletin of the Transilvania University of Brasov, 5(1), 33-38.

Infradata (2019). Global Cyber Threat Report 2019.

Khan, O., & Estay, D. A. S. (2015). Supply chain cyber-resilience: Creating an agenda for future research. 

Technology Innovation Management Review, (April), 6-12.

Kott, A., & Abdelzaher, T. (2014). Resiliency and robustness of complex systems and networks. Adaptive, Dynamic, and Resilient Systems, 67, 67–86.

Krebs, B. (2014). Target Hackers Broke in via HVAC Company. Krebs on Security. Geraadpleegd van https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/

Kunnathur, A. (2015). Information security in supply chains: A management control perspective, Information and Computer Security, 23(5), 476-496.

Leukfeldt, E.R, (2017). The Human Factor in Cybercrime and Cyberveiligheid: Research Agenda. Nederland:

Eleven International Publishing.

Leukfeldt, E.R., Kleemans, E.R., Stol, W.P. (2017). A typology of cybercriminal networks:

from low tech all-rounders to high-tech specialists. Crime Law Soc. Change, 67(1), 21–37.

Levary, R. (2000). Better supply chains through information technology. Industrial Management, 42(3), 24.

Lewis, R., Louvieris, P., Abbott, P., Clewley, N., & Jones, K. (2014). Cyberveiligheid information sharing:

a framework for sustainable information security management in uk sme supply chains.

Linkov, I., Eisenberg, D. A., Plourde, K., Seager, T. P., Allen, J., & Kott, A. (2013). Resilience metrics for cyber systems. Environment Systems and Decisions, 33(4), 471-476.

Linkov, I., & Kott, A. (2019). Fundamental concepts of cyber resilience: Introduction and overview.

In A. Kott & I. Linkov (Red.), Cyber Resilience of Systems and Networks (pp. 1-25). Springer, Cham.

Musman, S., Agbolosu-Amison, S., & Crowther, K. (2019). Metrics Based on the Mission Risk Perspective.

In Cyber Resilience of Systems and Networks (pp. 41-65). Springer, Cham.

Pettit, T. J., Fiksel, J., & Croxton, K. L. (2010). Ensuring supply chain resilience: development of a conceptual framework. Journal of business logistics, 31(1), 1-21.

Radanliev, P., De Roure, D. C., Nurse, J. R., Montalvo, R. M., & Burnap, P. (2019). The Industrial Internet-of-Things in the Industry 4.0 supply chains of small and medium sized enterprises. University of Oxford.

Safa, N. S., Maple, C. & Watson, T. (2017). The information security landscape in the supply chain, Computer Fraud and Security, 6, 16–20.

Smith, G. E., Watson, K. J., Baker, W. H. & Pokorski, J. A. (2007). A critical balance: Collaboration and security in the IT-enabled supply chain, International Journal of Production Research 45(11), 2595–2613.

Stecke, K. E., & Kumar, S. (2009). Sources of supply chain disruptions, factors that breed vulnerability, and mitigating strategies. Journal of Marketing Channels, 16(3), 193-226.

Urciuoli, L. (2015). Cyber-resilience: a strategic approach for supply chain management. 

Technology Innovation Management Review, 5(4).

Urciuoli, L., Männistö, T., Hintsa, J., & Khan, T. (2013). Supply chain cyber security–potential threats. 

Information & Security: An International Journal, 29(1).

Van der Beek, D., & Schraagen, J. M. (2015). ADAPTER: Analysing and developing adaptability and performance in teams to enhance resilience. Reliability engineering & system safety, 141, 33-44.

Van der Kleij, R., & Leukfeldt, R. (2019). Resilient Behavior: Integrating Human Behavioral Models and

Resilience Engineering Capabilities into Cyber Security. In: International Conference on Applied Human Factors and Ergonomics, 16-27. Springer, Cham.

Van Ruijven, T. (2018). Oplegnotitie. TNO

Van Ruijven, T., & Keijser, B. (2017). Ketenweerbaarheid tegen cyberdreigingen: uitgangspunten, good practices en een stappenplan voor het vergroten van cyber ketenweerbaarheid. TNO.

Young, H., van Vliet, T., van de Ven, J., Jol, S., Broekman, C. (2018). Understanding human factors in cyber security as a dynamic system. In: International Conference on Applied Human Factors and Ergonomics, 244–254. Springer, Cham.

1.Achtergrond

Kun je iets vertellen over je organisatie?

Wie zijn je leveranciers?

Wat is de expertise van je organisatie?

Welke fysieke infrastructuur heeft je organisatie?

Weet je of gebruik maakt van dezelfde ICT-producten en diensten als partners (gezamenlijk gebruik)?

Hoe wordt informatie intern en extern gedeeld?

Maak je gebruik van een keteninformatiesysteem?

2.Dreigingenenkwetsbaarheden

Wat zijn dreigingen/digitale dreigingen voor jouw bedrijfsvoering? Ben je van mening dat je daar voldoende zicht op hebt?

Welke dreigingen brengen leveranciers met zich mee volgens jou?

Welke gevolgen kunnen de dreigingen hebben voor jouw organisatie?

Wat maakt jouw organisatie kwetsbaar voor cyberaanvallen?

Hebben er cyberincidenten plaatsgevonden bij jou organisatie?

Hoe is het incident precies gebeurd?

Wat was het effect van een incident op de bedrijfsvoering?

Ben je bekend met cyberincidenten bij andere bedrijven?

3.Geleerdelessen

Hoe houd je toezicht op leveranciers?

In hoeverre is er een cyberveiligheid beleid in jouw organisatie? Welke maatregelen neem je momenteel? Ben je van plan in de toekomst nog andere maatregelen te treffen?

Welke afspraken hebben jullie gemaakt met externe partijen?

Hoe komen maatregelen die je neemt terug in het contract met de leverancier?

Is er sprake van ketensamenwerking- en afstemming? Zo ja, hoe ziet dat eruit?

Deel je informatie over cyberveiligheid met ketenpartners?

Hoe bepaal je de risico-positie tot elkaar? Denk aan: ‘mijn kwetsbaarheid is jouw risico’,

‘jouw risico’s is ook mijn risico’.

Hebben jullie zicht op hoe anderen hun security hebben georganiseerd?

Zo nee, In welke mate staat dit een gecoördineerde aanpak in de weg?

Is er sprake van een gecoördineerde aanpak van risico’s, bv. in de vorm van een

samenwerkingsverband? Hebben jullie regelmatig overleggen over de cyberveiligheid aanpak in de keten?

Watzijn lessons learned bijhetvoorkomenenbestrijdenvancyberincidenten

indeketen?

cybersecurity-in-het-mkb#over-het-lectoraat R.vanderKleij@hhs.nl

Johanna Westerdijkplein 75

In document CYBER-KETENWEERBAARHEID EEN VERKENNEND ONDERZOEK NAAR DREIGINGEN, KWETSBAARHEDEN EN GELEERDE LESSEN (pagina 24-28)