De "supply chain" aanval via de software van SolarWinds heeft aangetoond hoe belangrijk het is voor organisaties dat leveranciers hun cybersecurity op orde hebben. "Eén ding dat je niet kunt outsourcen is de verantwoordelijkheid voor de security van je leveranciers", zo stelt het Britse National Cyber Security Centre (NCSC).
Het NCSC heeft daarom vragen over verschillende veiligheidsgerelateerde onderwerpen opgesteld die organisaties aan hun leveranciers kunnen stellen. Het gaat dan bijvoorbeeld of de leverancier over mensen en processen beschikt die verantwoordelijk voor cybersecurity zijn, hoe er in het geval van beveiligingsincidenten wordt gereageerd, hoe de leverancier zijn netwerk beveiligt, of de leverancier remote verbindingen naar zijn netwerk toestaat en hoe er wordt omgegaan met Bring Your Own Device (BYOD).
Ook kunnen organisaties vragen of hun leveranciers penetratietests en security-audits laten uitvoeren en gevonden problemen ook verhelpen, hoe de fysieke beveiliging is geregeld, of het personeel wordt gescreend, er security-awarenesstrainingen bij de leverancier plaatsvinden en hoe er met klantgegevens wordt omgegaan.
Aan de hand van de gegeven antwoorden kunnen organisaties dan bepalen of dit aan hun eisen voldoet. Het risico kan van verschillende factoren afhankelijk zijn, bijvoorbeeld of de leverancier direct of indirecte toegang tot het netwerk van de organisatie heeft en of de leverancier een 'single point of failure' is. Het NCSC waarschuwt dat het hier niet om een checklist gaat. "Een aanpak die alleen uit afvinken bestaat leidt vaak tot een vals gevoel van cybersecurity", zo stelt de Britse overheidsinstantie.
Deze posting is gelocked. Reageren is niet meer mogelijk.