Informatiebeveiliging in
een logistieke keten
Onderzoek naar relevante risico’s en bijbehorende beheersingsmaatregelen over
informatiebeveiliging in een logistieke keten.
Student:
A.P. (Arjan) Suijker MSc RA
Studentnummer:
7000261
Plaats:
Delft
Datum:
29 augustus 2014
Instelling:
Universiteit van Amsterdam, AITAP
Begeleider:
drs. P. van Houten RE CISA
2
Inhoudsopgave
Inhoudsopgave ... 2 Samenvatting ... 5 Voorwoord ... 6 1 Inleiding ... 7 1.1 Introductie en aanleiding... 71.1.1 Complexiteit internationale handel en vraag naar gegevens... 7
1.1.2 Beschikbare informatie bij partijen en toezicht door Douane ... 8
1.1.3 Initiatieven tot een meer transparante logistieke keten ... 8
1.1.4 Belang van informatiebeveiliging: beschikbaarheid, integriteit en vertrouwelijkheid ... 9
1.2 Doelstelling, onderzoeksvraag en deelvragen ... 9
1.2.1 Doelstelling ... 9
1.2.2 Onderzoeksvraag ... 9
1.2.3 Deelvragen ... 9
1.2.4 Afbakening ... 10
1.3 Aanpak onderzoek en onderzoeksmodel ... 10
1.4 Opbouw scriptie ... 11
2 Theoretisch kader over logistieke ketens ... 12
2.1 Inleiding ... 12
2.2 Netwerken en ketens ... 12
2.3 Logistieke keten en CASSANDRA ... 14
2.3.1 The Piggy Backing Principle ... 15
2.3.2 Risk Based Supply Chain Management ... 15
2.3.3 Risk Based Government Supervision ... 15
2.3.4 Data Pipeline Concept ... 16
2.3.5 CORE: follow-up CASSANDRA ... 17
2.4 Beveiligings- en betrouwbaarheidsaspecten ... 17
3 Normenkader en risicoanalyse informatiebeveiliging in logistieke keten ... 19
3.1 Inleiding ... 19
3.2 Kwaliteitsaspecten informatiebeveiliging... 19
3.3 Normenkader informatiebeveiliging in logistieke keten ... 20
3.3.1 Algemeen ... 20
3.3.2 Analyse mapping ... 21
3.4 Risicoanalyse informatiebeveiliging in logistieke keten ... 22
3.5 Validatie-interviews ... 23
3.5.1 Opzet validatie-interviews ... 23
3.5.2 Resultaten validatie-interviews ... 24
3 4 Praktijkonderzoek ... 28 4.1 Inleiding ... 28 4.2 Opzet praktijkonderzoek ... 28 4.2.1 Algemeen ... 28 4.2.2 Vertrouwelijkheid uitkomsten ... 28 4.3 Uitkomsten praktijkonderzoek ... 29
4.3.1 Bewustzijn binnen organisaties ... 29
4.3.2 Informatiebeveiligingsbeleid en verantwoordelijkheden ... 30
4.3.3 Risicoanalyse ... 30
4.3.4 Gebruik normenkaders ... 30
4.3.5 Classificatie van informatie ... 31
4.3.6 Uitwisseling van informatie en encryptie ... 31
4.3.7 Monitoring en audit ... 31
4.3.8 Incidenten ... 32
4.4 Analyse bevindingen ... 32
5 Conclusies en aanbevelingen ... 33
5.1 Inleiding ... 33
5.2 Recapitulatie en conclusie deelvragen ... 33
5.2.1 Logistieke keten ... 33
5.2.2 Risico’s en beheersingsmaatregelen vanuit theorie ... 33
5.2.3 Beheersingsmaatregelen in de praktijk ... 34
5.3 Aanbevelingen ... 34
5.3.1 Bewustzijn binnen organisaties en informatiebeveiligingsbeleid (5.1 en 6.1) ... 34
5.3.2 Risicoanalyse (5.1, 6.1 en 14.1) ... 35
5.3.3 Eigenaarschap en classificatie van informatie (7.2) ... 35
5.3.4 Uitwisseling van informatie en cryptografische maatregelen (10.8 en 12.3) ... 36
5.3.5 Controle (10.10) ... 36
5.4 Conclusie onderzoeksvraag en relevantie voor IT-auditor ... 37
6 Afsluiting en reflectie ... 38
6.1 Inleiding ... 38
6.2 Reflectie en vervolgonderzoek ... 38
6.2.1 Spanningsveld tussen functionaliteit en beveiliging ... 38
6.2.2 Oorzaak incidenten ... 38
6.2.3 Eisen aan partijen en (IT-) audits ... 39
6.2.4 Data level assurance ... 39
6.2.5 Uitbreiding onderzoek en vervolg ... 39
4
Bijlagen ... 42
Bijlage 1: mapping normenkaders ... 43
Bijlage 1.1: mapping ISO/ISF/NIST ... 43
Bijlage 1.2: analyse beheersingsmaatregelen NIST ... 46
Bijlage 2: initiële risicoanalyse – eigen inschatting ... 48
Bijlage 3: gespreksverslagen interviews validatie ... 51
Interview 1: W.F.A. van den Berg RA RE ... 51
Interview 2: I.M.P.J. Lucassen MSc CSCP ... 53
Interview 3: K. Niewold RE ... 55
Interview 4: J.N.G. Bosch RE ... 58
Interview 5: C. Geerts ... 60
Interview 6: P.J. Boer en J. Stoorvogel MSc ... 62
Interview 7: J.H. Molenaar ... 64
Interview 8: E. Geerts ... 67
Interview 9: N. Bezemer en J.M. Bouwsma RE ... 69
Bijlage 4: resultaten validatie-interviews ... 72
Bijlage 4.1: resultaten validatie-interviews ... 72
Bijlage 4.2: spreiding (weergegeven per risico)... 73
Bijlage 4.3: spreiding (weergegeven per gesprekspartner) ... 73
Bijlage 4.4: gemiddelde (per risico) ... 74
Bijlage 4.5: hoogste risico’s per kleurgebied ... 74
Bijlage 5: relevante beheersingsmaatregelen ... 76
Bijlage 6: blanco vragenlijst beheersingsmaatregelen ... 80
Bijlage 7: resultaten vragenlijst beheersingsmaatregelen ... 88
5
Samenvatting
Binnen een logistieke keten is het zowel voor betrokken partijen als voor een toezichthouder zoals Douane van belang om te kunnen beschikken over betrouwbare gegevens. Het probleem is dat deze informatie in de huidige situatie niet altijd betrouwbaar is. Er zijn dan ook verschillende initiatieven geweest om te komen tot een meer betrouwbare en transparante logistieke keten. Bij een logistieke keten gaat het om de samenwerking tussen organisaties waar ieder voordelen van heeft. Het belang van informatiebeveiliging daarbij is groot, zoals ook uit praktijkvoorbeelden naar voren komt. Deze scriptie beschrijft de resultaten van het uitgevoerde onderzoek naar aspecten van informatiebeveiliging die van belang zijn voor een logistieke keten.
Vanuit bestaande literatuur (en verificatie in interviews) is een lijst tot stand gekomen met 13 risico’s die voor een logistieke keten van belang is. Deze risico’s zijn in een negental interviews gevalideerd. De relevante beheersingsaspecten om deze risico’s te mitigeren zijn aan de hand hiervan in kaart gebracht en bij een 3-tal case studies in de praktijk onderzocht. Hieruit zijn bevindingen met betrekking tot informatiebeveiliging benoemd op onderstaande punten:
1. Bewustzijn van risico’s is in beperkte mate binnen organisaties aanwezig.
2. Informatiebeveiligingsbeleid wordt weinig door directie ondersteund, is niet duidelijk ingeregeld in verantwoordelijkheden en leeft niet bij het personeel.
3. Geen gestructureerde aandacht aan het maken en actueel houden van een risicoanalyse. 4. Normenkaders worden vooral van een externe auditor overgenomen.
5. Gedetailleerde (her)classificatie van informatie vindt over het algemeen niet plaats.
6. Uitwisseling van informatie komt veelvuldig via onbeveiligde/onversleutelde verbindingen voor. 7. Monitoring en audit vindt wel plaats, maar er is ruimte voor verbetering/uitbreiding.
8. Grote incidenten bij de onderzochte cases hebben niet plaatsgevonden, maar incidenten in de logistieke keten worden wel herkend.
Door het niet (volledig) implementeren van de relevante beheersingsmaatregelen, blijven (rest)risico’s bij de onderzochte organisaties aanwezig. Deze (rest)risico’s kunnen impact hebben op een logistieke keten als geheel.
Gerelateerd aan de conclusies uit het praktijkonderzoek zijn een aantal aanbevelingen gedaan voor verbeteringen in de toekomst. De ketenregisseur speelt een belangrijke rol bij het maken van afspraken binnen de ketensamenwerking. Deze aanbevelingen zien op de volgende onderwerpen:
1. Bijscholing op het gebied van informatiebeveiliging.
2. Verrichten van een gezamenlijke risicoanalyse binnen de logistieke sector. 3. Nauwkeurige classificatie van informatie in de logistieke keten.
4. Uitwisseling van gegevens middels goed beveiligde verbindingen. 5. Audittrail en logging ten behoeve van controle achteraf.
Het belang van informatiebeveiliging wordt steeds groter op het moment dat onder organisaties versnipperd aanwezige (logistieke) informatie over zendingen bij elkaar samengevoegd wordt in een data pipeline. Momenteel is deze data pipeline nog slechts gedeeltelijk gerealiseerd, maar redenen van efficiency en effectiviteit kunnen ertoe leiden dat dit concept verder vormgegeven zal worden. In het slotstuk van deze scriptie zijn suggesties gedaan voor het doen van vervolgonderzoek.
6
Voorwoord
Sinds 2002 ben ik (na het VWO te hebben afgerond) werkzaam bij de Belastingdienst en heb ik de opleiding tot accountant gevolgd. Bij mijn inschrijving in 2011 als accountant in het Register had ik in de praktijk al vaak gemerkt dat gedegen kennis van de IT in de huidige tijd onmisbaar is voor het uitvoeren van goede controles. Daarom werkte ik al graag samen met IT-auditors die binnen onze eigen organisatie mijn kennis op dit punt konden aanvullen. Dit was voor mij de motivatie om me zelf in een vervolgstudie op IT-audit te gaan richten.
Ik was dan ook heel blij dat ik bij de Douane de kans kreeg om vanaf september 2012 te starten met de IT-audit-opleiding aan de Universiteit van Amsterdam / Amsterdam Business School. Van de verschillende collegereeksen spraken mij de colleges op het gebied van informatiebeveiliging erg aan. Een scriptie schrijven waarin ik me ging richten op dit actuele onderwerp was dan ook al snel mijn idee. In het proces van het komen tot een scriptieonderwerp ben ik dank verschuldigd aan Wilfred van den Berg die als ervaren accountant en IT-auditor erg bereid was om hier met mij over te praten in het voortraject (en ook bij het traject betrokken is gebleven). Het is mooi een onderwerp gevonden te hebben waarbij ik meer heb kunnen uitdiepen over de wereld waarin de Douane opereert en de IT audit aspecten die bij logistieke ketens een rol spelen.
Dank ben ik ook verschuldigd aan Wim Visscher die naast IT-auditor vanuit de Douane ook zeer nauw betrokken is bij het onderzoeksproject CASSANDRA. Ik was erg blij dat hij bereid was om als intern begeleider op verschillende momenten input te leveren aan deze scriptie. Dankzij zijn nauwe betrokkenheid bij CASSANDRA was het ook mogelijk om in contact te komen met interessante gesprekspartners voor de interviews tijdens het praktijkonderzoek.
Niet in de laatste plaats gaat mijn bijzondere dank in de richting van Pieter van Houten die ik bij het vak informatiebeveiliging al heb leren kennen als een zeer deskundige en gemotiveerde docent. Tijdens deze scriptie heeft hij mij opnieuw weer met zijn kennis en kunde kunnen helpen. De afspraken met Pieter om mijn scriptie te bespreken waren altijd fijn en nuttig. Hier heb ik bij het schrijven van de scriptie veel aan gehad!
Tot slot dank ik ook alle andere personen die op de één of andere manier bij deze scriptie betrokken zijn. Daarbij denk ik niet alleen aan de personen die hebben willen meewerken aan de interviews maar ook alle collega’s die zich geïnteresseerd en betrokken hebben getoond bij mijn studie en deze scriptie.
Nu de scriptie tot een einde is gekomen, kijk ik als accountant terug op een studie waarmee ik mijn kennis en ervaring op het gebied van de IT fors heb kunnen vergroten. De vakgebieden van de IT-auditor en de accountant zullen naar mijn mening in de toekomst steeds nauwer naar elkaar toe groeien en samenwerking zal het sleutelwoord zal zijn. Een samenwerking waaraan ik graag mijn bijdrage lever!
Delft, 29 augustus 2014
7
1 Inleiding
1.1 Introductie en aanleiding
Medio 2013 waren er wereldwijd bijna 5.000 containerschepen met een totale capaciteit van bijna 17 miljoen TEU1. Op het moment dat er een containerschip voor de kust vastloopt en zeecontainers met mogelijk gevaarlijke inhoud aan de kust aanspoelen, is de behoefte aan duidelijkheid over de inhoud van de lading groot. Op 19 januari 2007 strandt het containerschip MSC Napoli in een storm voor de kust van Groot-Brittannië. Financiële en milieuschade is het gevolg. In het onderzoeksrapport over deze scheepsramp is opgenomen: “The weight of each individual container is declared by the packer or shipper, and this declared weight is used until it reaches its final destination”. Vervolgens bleek dat het gewicht van circa 20% van de containers aan boord van het schip meer dan 3 ton afweek van hetgeen op het scheepsmanifest stond. De vervoerder van de goederen heeft daarbij gegevens over de zending (waaronder het gewicht) overgenomen van de opgave door de verzender van de goederen.
Alhoewel het verkeerd beladen uiteindelijk niet de hoofdreden van deze scheepsramp was, geeft deze passage wel aan dat gegevens over de containerzending van partij tot partij in de logistieke keten worden doorgegeven. Daarbij vergewissen partijen in de keten zich niet van de juistheid van de informatie waarover zij de beschikking krijgen. Zij nemen de informatie over van partijen eerder in de keten. Daarbij is het zeer goed mogelijk dat de informatie gedurende het overdragen binnen de keten summierder wordt overgedragen en minder betrouwbaar wordt. Voor toezichthouders zoals de Douane is het gebruik van betrouwbare gegevens van essentieel belang, zeker in een tijd dat de complexiteit en omvang van goederenstromen toeneemt.
1.1.1 Complexiteit internationale handel en vraag naar gegevens
De methode van internationale handel heeft zich sinds de 18e eeuw sterk ontwikkeld. Met de komst van de zeecontainer in de 20e eeuw begonnen rederijen met het vervoer van goederen in een stalen constructie waarvan de inhoud niet meer te zien was. De internationale handel heeft zich in toenemende mate ontwikkeld tot een belangrijke pijler voor onze wereldwijde economie. Handelsstromen in het internationale goederenverkeer worden steeds omvangrijker en complexer door bijvoorbeeld uitbesteding en transport via verschillende logistieke ketens. Het aantal (logistieke) dienstverleners waarmee koper en verkoper te maken hebben, wordt steeds groter. Voor de import of export van één enkele container zijn gemiddeld 40 pagina’s aan documenten benodigd. Deze pagina’s met informatie worden steeds meer digitaal gevraagd en aangeleverd. De hoeveelheid digitale informatie die hiermee gepaard gaat voor al deze transacties is groot. Sinds de aanslagen op het World Trade Center in Amerika (9/11) wordt ook meer informatie gevraagd door
1
Twenty feet Equivalent Unit, een standaard containers van 20 voet lang (ongeveer 6,10 meter). De meest voorkomende containers op containerschepen en vrachtwagens zijn 2 TEU.
8
overheden. Aan de andere kant zijn er ontwikkelingen waar te nemen die tot doel hebben om de administratieve lasten te verlichten (Klievink et al., 2012; Van Stijn et al., 2011).
Een overzicht van verschillende partijen die betrokken kunnen zijn bij containervervoer, van consignor (‘verkoper’) tot consignee (‘koper’) (Klievink et al., 2012):
Figuur 1: betrokken partijen bij containervervoer
1.1.2 Beschikbare informatie bij partijen en toezicht door Douane
In het kader van Europese Douanewetgeving wordt vereist dat aan de Douane als toezichthouder informatie wordt verstrekt over de goederen aan de hand waarvan een risicoanalyse wordt verricht ten aanzien van de goederen die de Europese Unie binnenkomen. Deze informatie gebruikt de Douane voor het doen van risicoanalyses op de fysieke goederen. Op basis van deze risicoanalyses wordt besloten welke zendingen aan een nadere controle onderworpen moeten worden. Elk van de partijen die bij het containervervoer betrokken is, heeft (delen van) informatie. De partij die het beste informatie over de goederen kan verstrekken is de oorspronkelijke verkoper of partij die de container daadwerkelijk beladen heeft. De partij in de keten die momenteel de informatie over de goederen verstrekt aan de Nederlandse Douane is niet deze verkoper of belader van de goederen, maar de cargadoor. De cargadoor baseert zich op het scheepsmanifest, maar heeft de fysieke goederen nooit ingepakt of gezien en heeft de beschrijving van de goederen alleen doorgekregen van een eerdere partij in de keten. Om commerciële redenen (risico van direct benaderen van partijen) en risico op bijvoorbeeld diefstal zullen partijen die bij het containervervoer betrokken zijn elkaar slechts de strikt noodzakelijke informatie verstrekken. De informatie over goederen die aan de Douane wordt verstrekt lijkt dan ook niet altijd betrouwbaar. Dit is een probleem aangezien de Douane voor het toezicht op veiligheids- en fiscale risico’s op de goederenstroom juist bij haar risicoanalyses gebruik maakt van de aangeleverde informatie (Hesketh, 2010; Veenstra et al., 2013).
Steeds meer wordt daarom gedacht om het punt waarop de logistieke informatie aan de keten wordt verstrekt zo dicht mogelijk bij de bron te zoeken. Hesketh (2009) noemt deze gedachte in een artikel in 2009 nog erg ingrijpend.
1.1.3 Initiatieven tot een meer transparante logistieke keten
Om de transparantie binnen logistieke ketens te vergroten, is er sprake van diverse initiatieven waarbij zowel voor bedrijfsleven als toezichthouders voordelen zijn te onderkennen. Op het moment dat er over de logistieke keten middels een data pipeline betrouwbare (commerciële) informatie wordt verstrekt door de partij die het meeste inzicht heeft in deze informatie, wordt het mogelijk deze informatie te hergebruiken. Dit leidt tot administratieve lastenverlichting voor het bedrijfsleven. Daarnaast wordt de transparantie van de logistieke keten vergroot zodat goederenstromen beter kunnen worden georganiseerd en zelfs CO2 reductie als criterium
kan worden gebruikt om goederenstromen in logistieke ketens met verschillende wijzen van vervoer zo goed mogelijk te organiseren. Een ander aspect is dat toezichthouders zoals de Douane hun toezichtsfunctie beter uitoefenen op het moment dat de informatie waarop zij zich baseren betrouwbaarder is. Het bedrijfsleven wordt op die manier ook minder geconfronteerd met controles die waren voorkomen als de betreffende informatie juist en volledig beschikbaar zou zijn geweest. Ook dit kan tot een administratieve lastenverlichting
9
leiden. De Douane kan dus het faciliteren van de internationale handel en de taken op het gebied van veiligheid en fiscaliteit beter uitoefenen (Klievink et al., 2012; Hulstijn et al., 2012).
Het project CASSANDRA2 richt haar aandacht op dergelijke logistieke ketens. CASSANDRA is een Europees onderzoeksproject om containerveiligheid meer effectief en efficiënt te maken. Het doel is de logistieke ketens veiliger te maken, het toezicht op internationale goederenstromen effectiever te maken, en tegelijkertijd de integrale compliance kosten voor het handelend bedrijfsleven te minimaliseren. Hierbij wordt, startend bij de producent of verkoper van de goederen, de eerste informatie over de zending vastgelegd en wordt deze informatie gedurende elke stap in het verdere verloop van de keten verrijkt met andere relevante informatie.
1.1.4 Belang van informatiebeveiliging: beschikbaarheid, integriteit en
vertrouwelijkheid
Zeker op het moment dat het gebruik van digitale informatie in logistieke ketens toeneemt, neemt dit belang toe. Informatie zal daarbij steeds sneller beschikbaar moeten zijn. Goedwillende partijen zullen immers hun beslissingen steeds meer baseren op de informatie uit deze keten waardoor de eis van betrouwbare gegevens toeneemt. De praktijk leert echter dat het ook voor minder goedwillende partijen steeds interessanter is om informatie uit deze keten te gebruiken of te misbruiken voor eigen (criminele) activiteiten en financieel gewin. Dat dit realiteit kan zijn, toont de recente hack van het computersysteem van de Antwerpse haven aan3. Een televisie-uitzending van EenVandaag van 30 oktober 2013 is hier ook uitgebreid op ingegaan4. Hierbij werden digitale gegevens gebruikt en beïnvloed om drugssmokkel via containers zo onzichtbaar en makkelijk mogelijk te maken. Ook in het kader van de concurrentiepositie van bedrijven, kan de digitale (commerciële) informatie uit de keten voor partijen van grote waarde zijn. Een gebrekkige informatiebeveiliging vergroot de kans op misbruik. In een recent onderzoek van Europol wordt ook bevestigd dat criminele activiteiten steeds meer gericht zijn op zeevracht. Europol verwacht dat deze vormen van criminele activiteiten zullen toenemen en dat criminelen blijven zoeken naar nieuwe manieren om grote hoeveelheden illegale drugs te verschepen5.
1.2 Doelstelling, onderzoeksvraag en deelvragen
1.2.1 Doelstelling
Het doel van het onderzoek in deze scriptie is om inzicht te geven in de aspecten van informatiebeveiliging die van belang zijn bij de inrichting van een logistieke keten.
1.2.2 Onderzoeksvraag
Welke beheersingsmaatregelen van informatiebeveiliging zijn van belang voor het mitigeren van risico’s en het waarborgen van een betrouwbare en integere6 logistieke keten en hoe is dit binnen (onderdelen van) een reeds bestaande logistieke keten ingericht ?
1.2.3 Deelvragen
De centrale vraag is uitgewerkt in de volgende deelvragen: 1) Wat is een logistieke keten?
2
Common Assessment and analysis of risk in global supply chains, zie ook website http://www.cassandra-project.eu
3 http://www.ad.nl/ad/nl/5595/Digitaal/article/detail/3528136/2013/10/16/Europol-waarschuwt-Drugsbendes-hacken-IT-systemen-containers.dhtml en http://www.nu.nl/tech/3502975/hackers-helpen-nederlandse-drugsbende.html 4 http://www.eenvandaag.nl/criminaliteit/georganiseerde-misdaad/47655/drugscriminelen_hacken_containersysteem_haven_antwerpen 5 http://www.logistiek.nl/Distributie/duurzaam-transport/2014/1/Hackers-terroriseren-supply-chain-1448487W/ 6
Voor een ‘betrouwbare’ en ‘integere’ logistieke keten wordt aansluiting gezocht bij de begrippen ‘beschikbaarheid, integriteit en vertrouwelijkheid’ (zoals uitgewerkt in hoofdstuk 3)
10
2) Welke beveiligings- en betrouwbaarheidsaspecten en daaraan gerelateerde risico’s vanuit het oogpunt van informatiebeveiliging zijn bij een logistieke keten van belang en met welke beheersingsmaatregelen zijn deze te mitigeren?
3) Welke beheersingsmaatregelen van informatiebeveiliging zijn daadwerkelijk geïmplementeerd bij reeds bestaande (onderdelen van) logistieke ketens?
4) Wat zijn de belangrijkste aandachtspunten voor informatiebeveiliging binnen een logistieke keten en welke verbeteringen zijn op dit punt mogelijk?
1.2.4 Afbakening
Gezien de beperkt beschikbare tijd die voor de scriptie ingepland staat, is het doel en de centrale onderzoeksvraag uitgewerkt volgens het concept van één specifieke logistieke keten (het concept zoals neergezet in het onderzoeksproject CASSANDRA) waarbij ook conclusies zijn getrokken en aanbevelingen zijn gedaan die ook voor andere logistieke ketens gelden waarbij de Douane een rol speelt.
Hierbij is voor wat betreft de kwaliteitsaspecten aandacht besteed aan beschikbaarheid, integriteit en vertrouwelijkheid. Als normenkader is de Code voor Informatiebeveiliging (ISO 27002:2005) als uitgangspunt gehanteerd, waarbij aanvullend onderzocht is welke andere relevante normenkaders bestaan en in hoeverre deze van toegevoegde waarde zijn.
1.3 Aanpak onderzoek en onderzoeksmodel
In het onderzoek zijn de volgende deelvragen uitgewerkt:Deelvraag 1: In een literatuuronderzoek is inzicht gegeven in wat logistieke ketens zijn. Hierbij wordt specifiek ook toegelicht wat het onderzoeksproject CASSANDRA in dit kader inhoudt. Deze deelvraag is uitgewerkt in hoofdstuk 2. Het uitwerken van deze deelvraag is van belang om bij de volgende deelvraag duidelijk te krijgen welke risico’s op het gebied van informatiebeveiliging spelen binnen een logistieke keten.
Deelvraag 2: Aan de hand van een literatuurstudie is gekomen tot een risicoanalyse op het gebied van informatiebeveiliging met betrekking tot een logistieke keten zoals bedoeld in het onderzoeksproject CASSANDRA. Deze risicoanalyse is geplot op een matrix (kans x impact) nadat hiervan een validatie is gedaan door middel van validatie-interviews met partijen die betrokken zijn bij deze logistieke keten. Dat zijn gebruikers van de logistieke keten, maar ook partijen die zelf deel uit maken van deze logistieke keten. Aan de hand van deze risicoanalyse is bepaald voor welke risico’s beheersingsmaatregelen ingericht zouden moeten worden. Hierbij is uiteindelijk sprake van een kwalitatieve analyse, aangezien het aantal interviews te gering is voor een kwantitatieve analyse. De Code voor Informatiebeveiliging (ISO 27002:2005) is als uitgangspunt genomen, maar tevens is bekeken welke andere normenkaders relevant zijn. Deze deelvraag is uitgewerkt in hoofdstuk 3.
Deelvraag 3: Bij een casestudy van drie (onderdelen van) een logistieke keten is (in opzet) inzicht gegeven in de beheersingsmaatregelen met betrekking tot informatiebeveiliging die daadwerkelijk zijn geïmplementeerd in reeds bestaande systemen bij organisaties die binnen een logistieke keten actief zijn. Hierbij is gebruik gemaakt van case study interviews (en zo mogelijk een documentstudie van informatiebeveiligingsbeleid, normenkaders etc.). Er is voor de case study interviews een drietal partijen gekozen die in de logistieke keten een rol van betekenis vervullen7. Deze deelvraag is uitgewerkt in hoofdstuk 4.
7
11
Deelvraag 4: De bevindingen uit de interviews met betrekking tot de risicoanalyse (deelvraag 2) en de casestudy (deelvraag 3) zijn met elkaar in verband gebracht in een analyse. Hierbij zijn de belangrijkste aandachtspunten op het gebied van informatiebeveiliging benoemd en zijn aanbevelingen genoemd voor logistieke ketens die volgens het concept van CASSANDRA (en haar opvolger CORE) zijn opgezet. Deze conclusies en aanbevelingen zijn zo veel mogelijk algemeen bruikbaar voor andere (internationale) logistieke ketens. Deze conclusies en aanbevelingen zijn uitgewerkt in hoofdstuk 5.
Het hierboven beschreven onderzoek is in een onderzoeksmodel als volgt weergegeven (nummering verwijst naar bijbehorende deelvragen):
Theorie logistieke ketens (1) Theorie normenkader / risico-analyse (2) Interviews ter validatie (2) Case 1 (3) Case 2 (3) Case 3 (3) Risicomatrix voor logistieke ketens gevalideerd met interviews
(1 en 2) Bevindingen resultaten cases (3) Analyse resultaten (4) Conclusies en aanbevelingen (4) Figuur 2: onderzoeksmodel
1.4 Opbouw scriptie
In hoofdstuk 2 is ingegaan op het theoretisch kader rondom logistieke ketens. Hierbij is een toelichting gegeven op het CASSANDRA onderzoeksproject.
In hoofdstuk 3 is een aan de theorie ontleend normenkader geformuleerd. In dit hoofdstuk is ook gekomen tot een risicoanalyse waarna validatie van deze risicoanalyse plaatsvindt in een negental interviews. Aan het slot van dit hoofdstuk is gekomen tot een overzicht met relevante beheersingsmaatregelen.
In hoofdstuk 4 is aan de hand van het overzicht met relevante beheersingsmaatregelen in de praktijk gekeken in hoeverre deze beheersingsmaatregelen bij een drietal partijen die in de logistieke keten actief zijn ook daadwerkelijk (in opzet) zijn geïmplementeerd.
In hoofdstuk 5 is aan de hand van de resultaten vanuit het praktijkonderzoek beschreven welke impact de afwezige beheersingsmaatregelen kunnen hebben op de logistieke keten als geheel. In dit hoofdstuk wordt ook gekomen tot recapitulatie van de verschillende deelvragen, aanbevelingen en een conclusie.
Hoofdstuk 6 vormt de afsluiting van en reflectie over de scriptie waarbij tevens ingegaan is op onderwerpen die zich zouden kunnen lenen voor een vervolgonderzoek.
12
2 Theoretisch kader over logistieke ketens
2.1 Inleiding
In dit hoofdstuk wordt de eerste deelvraag (“Wat zijn logistieke ketens?”) behandeld om duidelijk te maken in welke omgeving het onderzoek in deze scriptie zich afspeelt. Allereerst wordt ingegaan op netwerken en ketens in het algemeen, waarna dit gekoppeld wordt aan het concept zoals dat binnen het onderzoeksproject CASSANDRA neergezet is. Daarbij wordt in de laatste paragraaf van dit hoofdstuk ook ingegaan op beveiligings- en betrouwbaarheidsaspecten. Over ketens en samenwerking is veel geschreven in de literatuur. De inhoud van dit hoofdstuk is van belang om te behandelen, voordat in het volgende hoofdstuk (hoofdstuk 3) nader wordt uitgewerkt welke risico’s op het gebied van informatiebeveiliging voor een logistieke keten van belang zijn.
2.2 Netwerken en ketens
Het samenwerken in ketens is volgens Goedee en Entken (2013) ontstaan in de profitsector. Hieraan ten grondslag lag het concept supply chain management waarbij de nadruk wordt gelegd op het behalen van voordelen en toegevoegde waarde voor cliënten en de eigen organisatie. Er wordt een onderscheid gemaakt tussen samenwerking en ketens. Samenwerking binnen en tussen organisaties is steeds meer van belang. Goedee en Entken (2013) geven aan daarbij een paradoxale ontwikkeling te zien waarbij de samenleving aan de ene kant steeds individualistischer wordt, maar aan de andere kant de behoefte aan organisatorische samenwerking steeds groter wordt. Daarbij merken zij op dat in een gefragmenteerde wereld tegelijkertijd de onderlinge afhankelijkheid toeneemt.
Child et al. (2005) komen tot de volgende definitie van een netwerk:
Een willekeurig aantal relaties tussen verschillende organisaties (of onderdelen daarvan), gecreëerd doordat de verschillende leden zich onzeker voelen over de toekomst, en geloven dat het hebben van verschillende handelspartners beter tegemoetkomt aan een grotere flexibiliteit en kostenvoordeel dan het alleen opereren in een markt.
Een sleutelrol bij de ontwikkeling van netwerken is volgens Goedee en Entken (2013) weggelegd voor informatietechnologie. In de loop van de tijd ontwikkelden netwerken zich steeds meer tot ketens. Zij merken op dat waar relatienetwerken nog vrijblijvend zijn, het samenwerken in ketens uitmondt in concrete afspraken met netwerkrelaties over een gezamenlijk te behalen resultaat. Voor ketengerichte samenwerking wordt wel als voorwaarde genoemd dat zowel leidinggevenden als uitvoerende medewerkers moeten evolueren van het verticaal organiseren naar het horizontaal organiseren. In plaats van hiërarchisch gedrag zullen zij (keten)samenwerkingsgedrag moeten gaan vertonen. Het is daarom ook van belang dat leiders in een organisatie in staat zijn om ‘verbindingen’ te maken tussen verschillende partners in de keten.
De inrichting van een keten begint bij het leggen van een strategische focus. Daarbij onderscheiden Goedee en Entken (2013) verschillende soorten ketens:
1) Verkoopgerichte keten (inside-out):
Als bij een organisatie sprake is van verkoopgericht opereren (veelal met verkopen volgens een gestandaardiseerde aanpak), zal de keten over het algemeen van binnen naar buiten toe ingericht worden. Er kunnen dan efficiencyvoordelen worden bereikt. Een nadeel kan echter zijn dat niet tegemoet kan worden gekomen aan de individuele wensen van (groepen) cliënten.
13 2) Marktgerichte keten (semi-outside-in):
Organisaties die vanuit strategisch belang marktgericht opereren zullen bij de inrichting van ketens nadenken over de eisen en wensen van verschillende cliëntgroepen en hier eventueel zelfs verschillende ketens voor kunnen inrichten.
3) Cliëntgerichte keten (outside-in):
Bij de cliëntgerichte keten zal door de ketenarchitect de dialoog worden aangegaan om met de cliënt na te gaan wat de eisen en wensen zijn. Veelal wordt gewerkt op casusniveau en wordt op basis van de specificaties van de cliënt de ketensamenwerking ingericht.
Voor de opzet van een cliëntgerichte keten is het van belang om samen met de cliënt het resultaat van de keteninspanningen en de ketendoelstellingen te formuleren. Daarbij moet het begrip cliënten op verschillende niveaus worden bekeken. Zij kunnen zich bevinden op strategisch, tactisch en operationeel niveau. Ook tussenleveranciers van activiteiten die bijdragen aan het resultaat van de keten, kunnen tot de cliënten worden gerekend. Zo kan gekomen worden tot organisatie-overstijgende samenwerking in ketens. Ketenregie is in dit kader als een belangrijk onderdeel. Goedee en Entken (2013) verwijzen in dit kader naar een verwoording van ketenregie: een middel om activiteiten op een niet-vrijblijvende manier op elkaar af te stemmen door de vraag van de cliënt centraal te stellen.
Factoren die leiden tot deze organisatie-overstijgende samenwerking zijn door Azerki et al. (2012) onderzocht bij een specifieke (keten)samenwerking in de stad Antwerpen. Daarbij scoorden initiatieven van medewerkers (bottom-up) relatief het laagst, terwijl historie, noodzakelijkheid en overheidsdruk relatief hoog scoren.
Goedee en Entken (2013) verwijzen naar vier manieren van ketensamenwerking: 1) Transactionele ketensamenwerking:
Een vorm van samenwerking waarbij sprake is van een overeenkomst met de koper waarbij van tevoren is afgesproken dat hij een bepaald aantal producten zal afnemen. De verkoper is binnen dit model in de gelegenheid om zijn verkoop te plannen.
2) Coöperatieve ketensamenwerking:
In deze vorm van samenwerking wordt door partners in de keten informatie met elkaar uitgewisseld met betrekking tot bijvoorbeeld beschikbaarheid, aankopen, status van de levering etc.
3) Gecoördineerde ketensamenwerking:
Partners werken in deze vorm van samenwerking samen en zijn afhankelijk van elkaars capaciteiten. Hiervoor is tweerichtings informatieverkeer nodig alsmede het synchroniseren van beide planningen. 4) Gesynchroniseerde ketensamenwerking:
Deze vorm van samenwerking lijkt sterk op een strategische alliantie waarbij partners op bepaalde onderdelen samenwerken.
Door Huang et al. (2003) worden vijf verschillende vormen van structuren van logistieke ketens geclassificeerd. Als eerste noemen zij daarbij de dyadische structuur (dyadic structure) waarbij sprake is van twee entiteiten (bijvoorbeeld koper en verkoper). Een tweede vorm is de opeenvolgende structuur (serial structure) waarbij sprake is van meerdere, elkaar opvolgende, dyadische structuren van koper, distributeur, producent tot leverancier. Een derde vorm is de divergerende structuur (divergent structure) waarbij één leverancier of producent de voorraad distribueert naar meerdere distributeurs of kopers. De vierde vorm betreft de convergerende structuur (convergent structure) waarbij één producent een artikel assembleert vanuit verschillende leveranciers. Tot slot noemen Huang et al. (2003) de netwerkstructuur (network structure). Dit is een combinatie van de convergerende en divergerende structuur.
14
2.3 Logistieke keten en CASSANDRA
Aan het opzetten van een logistieke keten is een aantal belangrijke voorwaarden verbonden. Cruciaal voor het slagen van het concept, waarbij een transparante logistieke keten wordt opgezet, is dat vertrouwd kan worden op de juistheid van de gegevens. Belangrijk hierin zijn de beschikbaarheid, integriteit en vertrouwelijkheid van de digitale gegevens8 (dat gegevens niet ongeautoriseerd beïnvloed of verwijderd kunnen worden). Naast de organisatorische maatregelen en procedures die moeten zorgen dat gegevens die aan de keten aangeleverd worden betrouwbaar zijn, zijn ook technische maatregelen van belang (Hulstijn et al., 2012). Klievink et al. (2012) wijzen er daarnaast op dat toegang tot gegevens alleen gegeven wordt aan hiertoe geautoriseerde partijen. Daarbij merken zij op dat de Douane als toezichthouder toegang zou moeten hebben tot gegevens in de hele keten. Zij maken inzichtelijk tot welk deel van de informatie in de keten de betreffende partij toegang zou moeten hebben:
Figuur 3: inzicht in informatie door verschillende partijen in de keten
Het CASSANDRA project is een driejarig project gefinancierd vanuit de EU als onderdeel van het European Commission’s Seventh Framework programme for Security (thema Monitoring and tracking of shipping containers). Het project is gestart in juni 2011 en bestaat uit een consortium van 26 partners vanuit negen verschillende landen. Dit zijn wetenschappelijke instituten (o.a. TNO en TU Delft), software(ontwikkel)bedrijven (o.a. IBM, Atos en Descartes), logistiek dienstverleners (o.a. DHL, Seacon en Kuehne + Nagel) en port community systems (Portbase). Niet in de laatste plaats maken ook overheidsorganisaties zoals de Engelse en Nederlandse Douane en het KLPD onderdeel uit van het consortium9.
Het belangrijkste strategische doel van CASSANDRA is om de supply chain te verbeteren en gelijktijdig verbeteringen aan te brengen in de bedrijfsvoering en de efficiency en effectiviteit van de veiligheidsinspecties door de overheid. Bij het ontwikkelen van CASSANDRA wordt in co-creatie samengewerkt om een gedeelde en herbruikbare logistieke keten tot stand te brengen waarbij de transparantie van deze keten wordt vergroot. Hierbij wordt een op risico’s gebaseerde aanpak gekozen. Daarbij gaat het erom dat de ondernemingen zelf voorzien worden van alle relevante operationele informatie en daarnaast ook het meest optimale inzicht geven aan een toezichthouder als de Douane. Het concept van CASSANDRA kan worden samengevat als:
• End-to-end supply chain security door zichtbaarheid van partijen, goederen, informatie en logistieke stroom;
8
In hoofdstuk 3 zullen deze begrippen verder uitgewerkt worden.
9
15
• De data pipeline als technisch concept om informatie uit te wisselen binnen de logistieke keten;
• Gebruik van gegevens van de bron om de gegevenskwaliteit te verbeteren;
• Risk Based Approach om risico’s in de logistieke keten te identificeren en beheersingsmaatregelen te treffen;
• Hergebruik van bedrijfsgegevens en reeds uitgevoerde controles op bedrijfsrisico’s (piggy-backing principe).
In de indeling van Cohen en Roussel (2005) is bij CASSANDRA sprake van coöperatieve ketensamenwerking waarbij informatie tussen partners in de keten wordt uitgewisseld. Daarbij is volgens de indeling van Huang et al. (2003) sprake van een opeenvolgende structuur (serial structure) met uitwisseling van informatie tussen elkaar opvolgende entiteiten.
Bij de ontwikkeling van CASSANDRA wordt gewerkt volgens de Risk Based Approach. Liu et al. (2012) geven aan dat de Risk Based Approach (RBA) van CASSANDRA bestaat uit de volgende vier elementen:
1) The Piggy Backing Principle
2) Risk Based Supply Chain Management 3) Risk Based Government Supervision 4) Data pipeline concept
2.3.1 The Piggy Backing Principle
Bij Piggy Backing binnen logistieke ketens gaat het om het hergebruiken van bestaande gegevens en reeds uitgevoerde controles op bedrijfsrisico’s voor een ander doel dan waarvoor deze oorspronkelijk bedoeld waren. Binnen CASSANDRA gaat het zowel om het delen van informatie tussen ondernemingen (business-to-business) als met de overheid (business-to-government). Hierbij gaat dan om (logistieke) informatie van ondernemingen uit bijvoorbeeld ERP pakketten. Liu et al. (2012) geven aan dat het voor dit concept van het delen van informatie van belang is om systemen onderling met elkaar te laten communiceren. Daarbij zijn het inregelen van toegangsrechten en andere maatregelen van informatiebeveiliging van groot belang.
2.3.2 Risk Based Supply Chain Management
Bij op risico gebaseerd management van de logistieke keten gaat het erom dat de hele logistieke keten moet worden gekenmerkt door transparantie en het betrouwbaar inschatten en behandelen van risico’s. Hiervoor zal sprake moeten zijn van een gestandaardiseerde methode van risk management. Er wordt hiervoor een framework ontwikkeld dat bij de ondernemingen geïmplementeerd zal worden. Risk based supply chain management wordt uitgevoerd op een drietal niveaus: individueel (de interne risico’s van één partij in de keten), tussen partijen in de keten (bijvoorbeeld contracten tussen twee partijen) en binnen een netwerk (alle partijen in de keten).
2.3.3 Risk Based Government Supervision
Dit op risico’s gebaseerd toezicht door de toezichthouder bestaat uit zowel systeemgericht als transactiegericht toezicht. Bij systeemgericht toezicht wordt gesteund op de zelfregulatie van ondernemingen terwijl bij transactiegericht toezicht vooral aandacht is voor de uitkomst van individuele transacties. Bij risk based government supervision is sprake van een combinatie waarbij enerzijds voor de totstandkoming van informatiestromen wordt gekeken naar de integriteit, betrouwbaarheid en onderlinge consistentie van procedures en systemen, en anderzijds naar de individuele transacties. Voor de toezichthouder geeft deze wijze van toezicht de mogelijkheid om beter inzicht te verkrijgen in de risico’s in de goederenstromen. Daarbij is het mogelijk de aandacht meer te richten op de risicovolle goederenstromen.
16
2.3.4 Data Pipeline Concept
Aan het data pipeline concept ligt het principe van Piggy Backing ten grondslag waarbij de originele handelsgegevens zoals aangeleverd door de verkoper worden aangeleverd. Deze informatie wordt binnen de data pipeline gedeeld en gebruikt door (geautoriseerde) partijen in de keten. De data pipeline bevat verschillende data-elementen die door partijen in de keten worden aangeleverd. In de data pipeline is een onderscheid gemaakt tussen enerzijds de gegevens gerelateerd aan goederen en partijen en anderzijds gerelateerd aan het vervoer. Deze gegevens kunnen voor verschillende doelen worden gebruikt. Bijvoorbeeld door ondernemingen om hun distributieproces te optimaliseren (door gebruik maken van GPS data die door partijen in de keten aangeleverd wordt), maar ook gebruik door bijvoorbeeld toezichthouders. Voor toezichthouders kan daarmee ook de fysieke inspectie van een container worden verplaatst van het land waar de goederen worden binnengebracht (de aankomsthaven) naar het land waar vandaan de goederen zijn verzonden (vertrekhaven). Klievink et al. (2012) visualiseren de data pipeline als volgt:
Voor de data pipeline is een IT infrastructuur nodig om het uitwisselen van gegevens mogelijk te maken. Daarbij kan volgens Van Stijn et al. (2011) gedacht worden aan een cloud computing oplossing die een virtuele pipeline van gegevens en applicaties biedt die gebruikt kan worden vanaf elke computer. Daarbij wordt de afhankelijkheid van een specifiek systeem verkleind en wordt dubbele opslag van gegevens voorkomen. Overbeek et al. (2011) noemen als stakeholders die hierbij een rol spelen –naast rederijen, containerterminals, expediteurs en kopers/verkopers– ook de volgende stakeholders:
- Aanbieders van Port Community Systems (PCS): maakt communicatie mogelijk tussen logistieke keten van zee- of luchthaven, vaak opgezet door overheid of door de zee- of luchthaven.
- Internationale normalisatie-instellingen (standardization bodies): houden zich bezig met opstellen van standaarden met betrekking tot internationale handel.
17
Overbeek et al. (2011) noemen Portbase als voorbeeld van een provider van een Port Community System (PCS) die zorgt voor alle verbindingen binnen de logistieke keten gerelateerd aan een zeehaven of luchthaven die efficiënte uitwisseling van informatie mogelijk maakt. Er zijn echter meer vergelijkbare aanbieders.
Voor de data pipeline kunnen verschillende standaarden worden onderscheiden, namelijk standaarden met betrekking tot douanegegevens zoals opgesteld door de World Customs Organization (WCO) en standaarden met betrekking tot IT die uitwisseling tussen een verscheidenheid aan hardware en software architecturen mogelijk maken. Voor wat betreft deze IT standaarden noemen Van Stijn et al. (2011) EPC Global van GS1. De doelstelling van GS1 is om wereldwijd te komen tot dezelfde standaarden (bijvoorbeeld de barcode). Overbeek et al. (2011) noemen een andere mogelijkheid, namelijk het voorbeeld van Descartes. Deze partij biedt conversiemodules aan waarmee partijen in de keten hun eigen standaarden kunnen blijven gebruiken. Op deze manier kunnen partijen in de keten die met verschillende standaarden werken toch informatie uitwisselen.
2.3.5 CORE: follow-up CASSANDRA
Het CASSANDRA onderzoeksproject krijgt een follow-up binnen een nieuw project, CORE10 (Seventh Framework Programme – European Commission, 2013). Dit project, met een geplande doorloop van vier jaar, heeft een aftrap gehad in mei 2014. Er zijn 73 partijen betrokken die, net als binnen CASSANDRA, een aantal work-packages zullen uitwerken. Een groot aantal partijen die bij CASSANDRA betrokken waren, komen ook terug binnen CORE, maar het aantal betrokken partijen is dus flink uitgebreid.
Het project richt zich op de gebieden: ‘end-to-end supply chain security, global visibility of security risks, and optimized supply chain solutions’. Daarbij ligt de focus niet alleen op transport via de zee, maar ook op logistieke ketens van vervoer via post en via de lucht. Het is duidelijk dat de nadruk op CORE ook veel meer op veiligheid ligt. Expliciet is daarbij ook informatiebeveiliging genoemd en is beschreven dat oplossingen op het gebied van cyber security ontwikkeld zullen worden als geïntegreerd onderdeel van de informatie management infrastructuur.
2.4 Beveiligings- en betrouwbaarheidsaspecten
Zoals hierboven aangegeven door Goedee en Entken (2013), is bij de ontwikkeling van ketens een belangrijke rol weggelegd voor informatietechnologie. Zij hechten in dit kader ook sterk aan beveiligings- en betrouwbaarheidsaspecten en delen deze in in de volgende onderwerpen:
1) Registratie en bewerken van informatie
Uitgangspunt van ketensamenwerking is dat samenwerkende partners in de keten informatie met elkaar willen delen en deze kunnen aanvullen of bewerken. Uitgangspunt is het ‘need to know’ principe. Vooraf zal tijdens de implementatie moeten worden bepaald welke informatie dit betreft. 2) Toegankelijkheid van informatie
Voor de toegankelijkheid van informatie maken Goedee en Entken (2013) een onderscheid tussen technische toegankelijkheid (informatie is bijvoorbeeld via een digitaal (keten)informatiesysteem te bewerken) en functionele toegankelijkheid (bevoegdheden voor het raadplegen en/of muteren van gegevens inregelen middels autorisaties).
3) Technische beveiliging van informatie
De beveiliging van de informatie is cruciaal om de samenwerkende ketenpartner ertoe te brengen om hun eigen (vaak vertrouwelijke) informatie te delen. Daarbij noemen Goedee en Entken (2013) wel dat een evenwicht moet worden gevonden met de gebruiksvriendelijkheid.
10
18 4) Procedurele beveiliging van informatie
Als aanvulling op de technische beveiliging zijn procedures essentieel om de beveiliging en autorisatie te kunnen ondersteunen en waarborgen. Daarbij gaat het bijvoorbeeld om procedures met betrekking tot het vertrouwelijk omgaan met gegevens en rapportages van het (keten)informatiesysteem. 5) Betrouwbaarheid van informatie
De betrouwbaarheid van informatie wordt in eerste instantie gerealiseerd door het registreren van gegevens die door de ketenpartners zijn gevalideerd.
6) Bewaren van informatie
Goedee en Entken (2013) gaan hierbij uit van beheerste opslag van data, waarvan het de bedoeling is dat de betreffende applicatie via het web wordt aangeboden.
7) Veiligstellen van de informatie
Hierbij gaat het om het maken van afspraken over het veiligstellen van informatie door back-ups. 8) Gebruik van informatie
Goedee en Entken (2013) spreken hier over het belang van afspraken tussen ketenpartners met betrekking tot het (oneigenlijk) gebruik van informatie.
Sarathy (2006) geeft aan dat veiligheid een essentieel onderdeel is van de logistieke keten en dat deelnemers binnen de keten hier hun strategie ook op moeten aanpassen. Hij beschrijft daarbij een model waarin de informatie(stroom) één van de componenten is. Daarbij worden betrouwbaarheid en beveiliging van informatie genoemd. Om dit te bewerkstelligen moedigen zij aan gebruik te maken van technieken die hierbij behulpzaam kunnen zijn, zoals smart containers (containers die gebruik maken van de RFID tags) en container screening (door middel van bijvoorbeeld röntgenscans). Closs et al. (2004) hebben in een rapport over verbeteringen van veiligheid in de gehele logistieke keten vanuit verschillende invalshoeken een indeling gemaakt in het niveau van de inspanningen die worden geleverd. Daarbij wordt een onderscheid gemaakt tussen een basis-, normaal- en gevorderd niveau van inspanningen die zijn gedaan om de veiligheidsrisico’s binnen de logistieke keten te reduceren.
Pereira (2009) geeft nadrukkelijk aan dat IT een middel is dat kan helpen bij het verbeteren van information management en er voor zorgt dat de informatiestromen versneld worden waardoor de logistieke keten robuuster kan worden zonder dat dit de efficiency ondermijnt. Tegelijk concludeert hij echter dat IT een bron is die voor meer kwetsbaarheden in de logistieke keten kan zorgen. Hij geeft dan ook aan dat meer onderzoek zou moeten plaatsvinden om vast te stellen in hoeverre IT nu daadwerkelijk zorgt voor meer efficiency in de logistieke keten.
Bovenstaande geeft daarmee enerzijds het belang van IT aan binnen de logistieke keten, maar anderzijds geeft dit ook aan dat IT juist een kwetsbaarheid kan zijn. Daarnaast wordt opgemerkt dat het niet alleen gaat om informatiebeveiliging van (digitale) gegevens, maar dat ook aandacht zal moeten zijn voor bescherming van de integere fysieke goederenstroom, bijvoorbeeld met behulp van verzegeling van containers en het volgen van containers met track&trace/GPS.
In dit hoofdstuk is duidelijk geworden dat ketens in verschillende verschijningsvormen kunnen voorkomen. Logistieke ketens kunnen meer of minder omvangrijk zijn en in meer en mindere mate door IT ondersteund. Een concept van de data pipeline zoals binnen CASSANDRA uitgewerkt, brengt met zich mee dat informatie tussen meer partijen gedeeld wordt. In het volgende hoofdstuk wordt, gegeven de kenmerken van een logistieke keten zoals in deze paragraaf besproken is, beschreven welke risico’s met betrekking tot de informatiebeveiliging spelen bij logistieke ketens.
19
3 Normenkader en risicoanalyse informatiebeveiliging in logistieke
keten
3.1 Inleiding
In het vorige hoofdstuk is een beschrijving gegeven van (logistieke) ketens en hoe IT hierbij een steeds grotere rol speelt. In dit hoofdstuk wordt de tweede deelvraag van deze scriptie behandeld (“Welke beveiligings- en betrouwbaarheidsaspecten en daaraan gerelateerde risico’s vanuit het oogpunt van informatiebeveiliging zijn bij een logistieke keten van belang en met welke beheersingsmaatregelen zijn deze te mitigeren?”).
Allereerst wordt ingegaan op de drie kwaliteitsaspecten die bij informatiebeveiliging een rol spelen: beschikbaarheid, integriteit en vertrouwelijkheid. Daarna wordt in dit kader ingegaan op relevante normenkaders. Vervolgens wordt gekomen tot een risicoanalyse, gebaseerd op bestaande literatuur aangevuld met eigen invulling. Deze risicoanalyse is in een negental interviews geverifieerd, waarvan de resultaten eveneens in dit hoofdstuk zijn opgenomen en geanalyseerd. Tot slot wordt (op basis van het gekozen normenkader) gekomen tot een overzicht van relevante beheersingsmaatregelen om de in dit hoofdstuk geschetste risico’s te mitigeren.
3.2 Kwaliteitsaspecten informatiebeveiliging
Informatiebeveiliging wordt door Fijneman et al. (2012) gedefinieerd als een stelsel van maatregelen dat tot doel heeft de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te waarborgen.
De indeling in kwaliteitsaspecten die binnen de informatiebeveiliging veelal gemaakt wordt, is (Fijneman et al., 2011; Smith et al., 2007):
• Beschikbaarheid: gaat om ongestoorde en continue toegang tot het systeem. Dit heeft vaak invloed op de continuïteit van de bedrijfsvoering. Risico’s kunnen samenhangen met o.a. technische storingen, overbelasting, menselijke fouten, opzettelijk handelen of andere calamiteiten zoals een brand of stroomstoring.
• Integriteit: heeft betrekking op de juistheid en volledigheid van gegevens die in het systeem zijn opgeslagen en door het systeem worden verwerkt en gecommuniceerd. En dat gezorgd is voor bescherming tegen onjuiste wijzigingen. Risico’s kunnen samenhangen met o.a. technische storingen, bedieningsfouten of doelbewust foutieve gegevens invoeren of manipuleren.
• Vertrouwelijkheid: hierbij gaat het om het waarborgen van vertrouwelijkheid van vaak gevoelige informatie tegen ongeautoriseerde inzage. Risico’s kunnen o.a. samenhangen met menselijke fouten, maar ook opzettelijk lekken van gevoelige informatie of bedrijfsspionage heeft impact op de vertrouwelijkheid.
In het kader van informatiebeveiliging van logistieke ketens zijn beschikbaarheid, integriteit en vertrouwelijkheid alle drie van belang. Een hoge mate van beschikbaarheid (beslissingen in de keten worden continue 24/7 gemaakt op basis van deze informatie), integere gegevens (beslissingen over de goederenstroom door ondernemingen en risicoanalyse door Douane worden op basis van deze gegevens gemaakt) en vertrouwelijke gegevens (voorkomen moet worden dat onbevoegden toegang hebben tot vertrouwelijke gegevens) zijn van evident belang. De risico’s zoals in paragraaf 2.4 opgenomen zijn, zijn ook gerelateerd aan deze begrippen beschikbaarheid, integriteit en vertrouwelijkheid.
20
3.3 Normenkader informatiebeveiliging in logistieke keten
3.3.1 Algemeen
Voor de wijze waarop binnen de Risk Based Approach van CASSANDRA met risico’s omgegaan moet worden hanteren Liu et al. (2012) de risico management life cycle, ontleend aan ISO 31000.
ISO28001 (2007) richt zich op veiligheidsmanagementsystemen voor de logistieke keten en hanteert een soortgelijk schema voor het identificeren en inschatten van risico’s.
Figuur 6: risk assessment ISO 28001:2007 Figuur 5: risk management process ISO 31000:2009
21
Uit figuur 5 en 6 wordt duidelijk dat het na het identificeren van de risico’s ook van belang is om de beveiligingsmaatregelen te identificeren. Daarbij wordt een inschatting gemaakt van de waarschijnlijkheid dat een gebeurtenis zich kan voordoen gegeven deze maatregelen. Deze volgorde wordt ook in dit hoofdstuk aangehouden, aangezien na het definiëren van het normenkader allereerst risico’s in kaart gebracht worden, de hoogte van de risico’s wordt ingeschat en vervolgens de stap van het mitigeren van risico’s door beheersingsmaatregelen gemaakt wordt.
Voor het in kaart brengen van de toepasselijke beheersingsmaatregelen wordt uitgegaan van een normenkader. Voor het opstellen van een normenkader zijn de volgende standaarden als uitgangspunt genomen:
• Code voor Informatiebeveiliging ISO 27002:2005 (2007):
De ISO (International Organization for Standardization) is een internationale organisatie die normen vaststelt. Voor wat betreft de informatiebeveiliging wordt met name gekeken naar ISO27001 en ISO27002. De ISO27002 wordt vaak gezien als algemeen aanvaarde norm voor informatiebeveiliging.
• ISF: The Standard of Good Practice for Information Security (2013):
Het ISF (Information Security Forum) is een internationale onafhankelijke non-profit organisatie die gericht is op benchmarking en best practices van informatiebeveiliging. Deze standaard (The Standard of Good Practice) wordt binnen de publicaties van ISF gezien als belangrijke publicatie.
• NIST, SP 800-53: Security and Privacy Controls for Federal Information Systems and Organizations (2013):
Deze standaard is uitgegeven door NIST (National Institute of Standards and Technology). Zij ontwikkelt standaarden voor Amerikaanse overheidsinstanties. In deze standaard worden de minimale beveiligingseisen opgesomd voor het realiseren van een acceptabel niveau van informatiebeveiliging. Door het Platform voor InformatieBeveiliging (PvIB Expertbrief, 2009) is in een nieuwsbrief een analyse gemaakt van verschillende informatiebeveiligingsstandaarden. Hiervoor noemen zij de naar hun mening vier belangrijkste uitgevende organisaties van deze standaarden. Naast ISO, ISF en NIST is ook de Information Systems Audit and Control Association (ISACA) genoemd, die samen met het IT Governance Institute (ITGI) het CoBiT framework heeft ontwikkeld. In een vergelijking op basis van verschillende criteria geven zij echter aan dat de inhoud van deze standaard op het gebied van informatiebeveiliging beperkter is in diepgang en dat het meer gericht is op IT beheersing in het algemeen. Dat is de reden dat deze laatste in dit kader niet wordt meegenomen.
3.3.2 Analyse mapping
Voorafgaand aan de risicoanalyse is een mapping opgesteld tussen de drie toepasselijke normenkaders. Deze mapping is opgenomen in bijlage 1.1 van deze scriptie. Voor ISF (2013) is deze mapping zelfstandig gemaakt. Voor NIST (2013) is de mapping ontleend aan de reeds hierin opgenomen mapping tussen ISO27002:2005 en SP800-53. In beide gevallen is de Code voor Informatiebeveiliging als uitgangspunt genomen.
Vervolgens is bekeken of alle onderdelen van ISF (2013) en NIST (2013) daadwerkelijk geraakt zijn in deze mapping. De conclusie hiervan is dat dit voor ISF (2013) inderdaad het geval is. Voor NIST (2013) blijkt een aantal van de opgenomen beheersingsmaatregelen niet in de opgestelde mapping voor te komen.
In totaal heeft NIST (2013) 256 beheersingsmaatregelen opgenomen, waarvan 64 beheersingsmaatregelen niet in de mapping zijn opgenomen. Een verdere analyse van de 64 niet in de mapping opgenomen beheersingsmaatregelen, leert dat deze voor het overgrote deel wel gerelateerd zijn aan andere beheersingsmaatregelen die wel in de mapping zijn opgenomen. De betreffende beheersingsmaatregelen zijn
22
als ‘gerelateerd’ aangemerkt. Geconcludeerd kan worden dat slechts 10 beheersingsmaatregelen vanuit NIST (2013) in het geheel niet in de mapping zijn opgenomen of aan gerelateerde beheersingsmaatregelen zijn aan te merken. Daarnaast geeft NIST (2013) een prioriteit mee aan de beheersingsmaatregelen die gebruikt kan worden om bij de implementatie (afhankelijk van de beschikbare middelen) beslissingen te maken11. Deze 10 beheersingsmaatregelen hebben een lage (of geen) prioriteit.
De conclusie is dus dat er geen reden is om voor het praktijkonderzoek in aanvulling op de beheersingsmaatregelen uit de Code voor Informatiebeveiliging (ISO 27002:2005) meer beheersingsmaatregelen aan dit normenkader toe te voegen.
3.4 Risicoanalyse informatiebeveiliging in logistieke keten
Fijneman et al. (2012) geven aan dat informatiebeveiliging een onderdeel is van integraal risicomanagement. Daarom dient er een samenhangend pakket beveiligingsmaatregelen te worden getroffen en onderhouden. Zij geven aan dat middels een risicoanalyse de bedreigingen in kaart worden gebracht en het bijbehorende risico wordt ingeschat. In de Code voor Informatiebeveiliging (ISO 27002:2005) wordt aangegeven dat risicobeoordelingen periodiek behoren te worden uitgevoerd om in te spelen op wijzigingen in de beveiligingseisen en de risicosituatie.
Uitgaande van een logistieke keten zoals beschreven in hoofdstuk 2 zijn voor logistieke ketens verschillende risico’s aan te wijzen. Deze risicoanalyses zijn veelal breder opgezet dan uitsluitend informatiebeveiliging en meer gericht op operationele risico’s. In niet alle gevallen is informatiebeveiliging hierbij expliciet opgenomen (Liu et al., 2012; Sarathy, 2006).
Smith et al. (2007) beschrijven de impact van beveiligingsrisico’s op de logistieke keten. Hierbij maken zij een onderscheid in vijf verschillende categorieën risico’s voor de logistieke keten: process, control, demand, supply en environmental, verder ingedeeld in organization, network en environment. Hierna beschrijven zij de specifieke IT beveiligingsrisico’s en constateren dat doordat IT heel breed ingezet kan worden, de IT specifieke risico’s zich in alle categorieën kunnen voordoen. Zo geven zij aan dat uitval van het systeem veroorzaakt door beveiligingsincidenten vaak beschouwd worden als een organisatorisch risico. IT risico’s die van buiten de organisatie en haar netwerk en partners komen, worden daarbij beschouwd als omgevingsrisico. IT risico’s zijn dus breed en kunnen ook een brede achtergrond hebben.
Hieronder worden risico’s benoemd gerelateerd aan de relevante kwaliteitsaspecten. Deze risico’s zijn grotendeels ontleend aan reeds bestaande risicoanalyses (o.a. Closs en McGarrel, 2004; Smith et al., 2007; Goedee en Entken, 2013) aangevuld met eigen invulling. Hierbij wordt opgemerkt dat onderdelen uit onderstaande opsomming ook betrekking hebben op het ontbreken van bepaalde interne beheersingsmaatregelen. Deze lijst is in paragraaf 3.5 gevalideerd tijdens de validatie-interviews.
Nr. Risico informatiebeveiliging Kwaliteitsaspect(en)12
1 Onvoldoende veiligheidsbewustzijn bij de aanbiedende organisatie, geen sprake van informatiebeveiligingsbeleid, inrichting in de organisatie of coördinatie, geen gedocumenteerd plan voor verstoringen
BIV
2 Risico dat derden onbevoegd toegang verkrijgen tot bedrijfsgevoelige informatie waartoe zij geen toegang zouden mogen hebben
V
11
Prioriteit ingedeeld van P1 (hoge prioriteit) tot P3 (lage prioriteit). Daarnaast is P0 gebruikt voor beheersingsmaatregelen die in geen enkele van de (in NIST opgenomen) baselines zijn vermeld.
12
23
3 Risico dat authenticiteit van ontvangen berichten niet goed wordt vastgesteld zodat gegevens in de logistieke keten worden opgenomen die niet van de oorspronkelijke partij zijn
IV
4 Risico dat door virussen of andere malware gegevens binnen de logistieke keten niet meer integer blijven en gewijzigd / verminkt / verwijderd worden
I
5 Risico dat kwaadwillenden (hackers) inbreken op het systeem waarna gegevens gewijzigd / verminkt / verwijderd worden
I
6 Risico met betrekking tot performance van het systeem op moment dat er te veel / te grote hoeveelheden data in korte tijd aan systeem worden aangeboden c.q. worden opgevraagd
B
7 Risico dat derden (geautoriseerd uitgewisselde) gegevens binnen de logistieke keten zullen afluisteren en de informatie voor eigen (kwaadaardige doeleinden) gebruiken
V
8 Risico van beschikbaarheid van netwerken die door derde partijen worden onderhouden, ook in geval van calamiteiten als stroomuitval of (natuur)rampen (overstroming, aardbeving, brand)
B
9 Onvoldoende monitoring op systeem, waardoor incidenten (inbraken of inbraakpogingen) in het systeem niet opgemerkt worden en hier ook geen maatregelen op genomen worden
IV
10 Onvoldoende analyse van audit-logbestanden waarmee ten behoeve van de controle achteraf nog kan worden vastgesteld welke gebeurtenissen hebben plaatsgevonden
IV
11 Geen goede screening van partijen in de keten zodat er sprake is van zwakke schakels die invloed hebben op het totaal van het systeem
BIV
12 Risico van verwijderen/verloren gaan van gegevens die op grond van wettelijke eisen bewaard zouden moeten blijven
B
13 Misbruik van gegevens om daarmee ongeautoriseerd toegang goederen te verkrijgen
V
Voorafgaand aan de uitvoering van de validatie-interviews is een initiële risicomatrix opgesteld waarbij op basis van een eigen inschatting een ranking is gemaakt van de risico’s qua kans (y-as) en impact (x-as). Dit is in bijlage 2 opgenomen.
3.5 Validatie-interviews
3.5.1 Opzet validatie-interviews
Ter validatie van de vanuit de literatuur verzamelde risico’s zijn aan negental interviews gehouden. Deze interviews zijn uitgewerkt in bijlage 3. Er is gekozen voor diversiteit in de keuze van de gesprekspartners, omdat een logistieke keten uiteindelijk gezamenlijk gevormd wordt in samenwerking tussen vele partijen. In de interviews zijn dus gesprekspartners betrokken geweest die in meer of mindere mate betrokken zijn bij logistieke ketens en meer of minder kennis en ervaring vanuit de IT hebben. Ook zijn zowel partijen betrokken die meer betrokken zijn vanuit de importkant als partijen die meer betrokken zijn vanuit de exportkant van een keten. Daarnaast zijn partijen geïnterviewd die juist wel bij CASSANDRA betrokken zijn en partijen die dat juist niet zijn. Zo is voor de interviews gesproken met directe betrokkenen bij CASSANDRA vanuit TNO, de Douane
24
en een softwareontwikkelaar, de CEO van een logistiek dienstverlener, een manager bij een grote terminal en een IT risk manager bij Heineken Nederland.
De opzet van de validatie-interviews was onderverdeeld in een aantal vragen. Aan gesprekspartners is bewust niet vooraf gevraagd om zich voor te bereiden, zodat zij meer open in het interview zouden staan. Het voordeel hiervan is dat er in aanvulling op de reeds uit de literatuurstudie naar voren gekomen risico’s nog meer belangrijke risico’s naar voren zouden kunnen komen. Het nadeel kan zijn dat er niet vooraf over nagedacht kon worden. Na het gesprek is er echter steeds een gespreksverslag gemaakt en gedeeld met de gesprekspartner, zodat op een eventueel gemaakte eerdere inschatting nog gereageerd kon worden als de gesprekspartner daar na het lezen van het verslag aanleiding toe zou zien. De vragen die gesteld zijn:
1) Achtergrondinformatie gesprekspartner: juist omdat gekozen is voor diversiteit in de gesprekken, is het waardevol te beseffen vanuit welke achtergrond een partij redeneert.
2) Belangrijkste risico’s in logistieke keten m.b.t. informatiebeveiliging: Deze vraag is vanuit een ‘blanco’ situatie gesteld om te bezien of er belangrijke risico’s genoemd worden die nog niet eerder bij de literatuurstudie naar boven gekomen zijn.
3) Inschatten van gedefinieerde risico’s: gevraagd is om de risico’s vanuit de literatuurstudie op basis van de inschatting van de gesprekspartner te plotten in een risico-matrix. Daarvoor is tijdens de gesprekken een blanco risico-matrix overgelegd en is gevraagd het risico te plotten. Daarbij is ook aangegeven dat dit gaat om een inschatting die gemaakt moet worden voor de logistieke keten als geheel, los van hoe de beheersing van deze risico’s is. En los van hoe dit binnen de eigen organisatie van de betreffende gesprekspartner speelt. Uiteraard speelt de eigen kennis en achtergrond bij de inschatting wel mee.
Met uitvoeren van deze interviews wordt gekomen tot een kwalitatieve risicoanalyse. Het aantal interviews is te gering om daadwerkelijk tot een goed onderbouwde kwantitatieve analyse te komen. Desondanks zal er in de volgende paragraaf wel in kaart worden gebracht hoe deze risico’s zich volgens de inschatting van de verschillende gesprekspartners met elkaar verhouden.
3.5.2 Resultaten validatie-interviews
3.5.2.1 Algemeen
Omdat de interviews bedoeld waren ter validatie van de inschatting van kans en impact van risico’s zoals die uit de literatuurstudie naar voren gekomen waren, was het uiteraard van belang de gesprekspartners niet te sturen in hun antwoorden. Aan de andere kant moest wel een toelichting gegeven worden op de bedoeling van het interview en was het wel nodig om gesprekspartner toe te lichten hun antwoorden in dit kader niet uitsluitend op de eigen organisatie te betrekken. Ook was het de uitdaging om gesprekspartners te stimuleren om zelf risico’s te laten benoemden (los van de uit de literatuurstudie gedefinieerde risico’s).
3.5.2.2 Belangrijkste risico’s en aandachtspunten
Op de vraag wat gesprekspartners als belangrijkste risico’s zien, werden veel antwoorden gegeven die goed binnen de geformuleerde lijst vanuit de literatuurstudie gebracht konden worden. In dat opzicht zijn er dus geen belangrijke nieuwe risico’s naar voren gekomen en wordt de lijst vanuit de literatuur dan ook als volledig beschouwd. Wel werden er bepaalde nuanceringen of aandachtspunten voor de beheersing benadrukt. Onderwerpen die hierbij terugkwamen waren:
• Met betrekking tot het risico van ongeautoriseerde toegang tot gegevens, werd meermaals gesproken over het maken van onderscheid in hoe interessant bepaalde gegevens voor personen binnen en
