Gregory Van Den Top
Head of Cyber Risk Consulting Continental Europe
-
Netherlands
Cyberaanvallen door derde partijen treden op wanneer een aanvaller toegang krijgt tot de gegevens of systemen van een organisatie via hun toeleveringsketen, die bestaat uit leveranciers, onderaannemers en/of dienstverleners. Een aanval tegen een enkele leverancier kan gevoelige gegevens van meerdere organisaties tegelijk raken, met verstrekkende gevolgen die de financiële resultaten kunnen beïnvloeden en reputatieschade kunnen veroorzaken.
Zoals recente nieuwsberichten aangeven, nemen deze soorten aanvallen toe. Dit benadrukt hoe belangrijk het is voor uw organisatie om degetroffen cybermaatregelen van het leveranciersnetwerk dat uw activiteiten ondersteunt, te begrijpen. Cyberrisico's kunnen door alle derde partijen worden geintroduceerd, maar vooral diegenen die technologische verbindingen hebben met, of anderszins toegang hebben tot de gegevens van uw organisatie.
Naast het implementeren van beveiligingsmaatregelen voor uw eigen organisatie, kan uw organisatie overwegen de volgende stappen te ondernemen om de kans en impact van een cyberaanval door derden te verminderen
1. Bepaal de kritieke product- en dienstverleners in uw leveranciersnetwerk.Dit omvat, waar mogelijk, ook het identificeren van kritieke toeleveranciers die de leveranciers van uw organisatie zelf gebruiken. Elk bedrijf besteedt delen van zijn activiteiten uit aan meerdere leveranciers en toeleveranciers. Die leveranciers besteden op hun beurt delen van hun activiteiten uit aan andere leveranciers. En het proces gaat maar door. Hoe groter het ecosysteem, hoe groter het potentiële cyberrisico en de aanvalsoppervlakte voor uw organisatie.
2. Creëer en onderhoud een incidentresponsplan. Bij het opstellen van het plan moet rekening worden gehouden met aanvallen op derde partijen. Het is ook belangrijk om het plan te testen met meerdere scenario's. Zorg ervoor dat crisisoefeningen niet alleen met IT worden uitgevoerd, maar ook met andere belanghebbenden binnen uw organisatie.
3. Gebruik risicokwantificering om het derdenrisico te definiëren en kwantificeren. Dit stelt uw organisatie in staat om de mogelijke impact van een aanval op een derde partij in haar toeleveringsketen te bepalen en belangrijke belanghebbenden op één lijn te brengen over hoe het risico moet worden behandeld.
4. Bekijk uw bestaande cyberverzekeringspolissen om inzicht te krijgen in de dekkingsimplicaties van een aanval op een derde partij in de toeleveringsketen van de organisatie.
5. Verifieer of derde partijen voldoende cyberverzekering hebben om te voldoen aan de eisen van uw organisatie. Dit zorgt voor financiele weerbaarheid en is tevens een indicatie van een minimaal niveau van cyber-risicobeheer bij de betreffende leverancier.. Bepaalde beveiligingsmaatregelen zijn vaak vereist om als verzekerbaar te worden beschouwd.
Scenario's uit de praktijk
De volgende scenario's tonen enkele mogelijke derderisico's waar uw organisatie aan blootgesteld kan worden, en hun potentiële impact als/wanneer ze werkelijkheid worden.
Organisaties kunnen zich proactief wapenen tegen risico's van derden. Dit omvat het definiëren en begrijpen van wat de leveranciersnetwerk van een organisatie vormt, het het maken en testen van een incidentresponsplan. Maar ook het kwantificeren van de impact van het risico van derden om de impact op de balans te begrijpen. Ten slotte is het cruciaal dat derde partijen voldoen aan de verzekerings- en nalevingsvereisten van de organisatie van de eerste partij, bij voorkeur met zo min mogelijk impact in geval van een aanval.
Bij Marsh staan onze risicoadviseurs klaar om u te helpen uw cyber-derdenrisico te evalueren en te mitigeren. Om een gesprek te starten met een van onze adviseurs, kunt u contact opnemen met uw Marsh-makelaar of ons hieronder benaderen.
Head of Cyber Risk Consulting Continental Europe
Netherlands