Skip to main content
Marsh logo

Article

Omgaan met cyberrisico's door derde partijen

Leer hoe u cyberrisico's van derden, die inherent zijn aan de toeleveringsketen van een organisatie, kunt begrijpen en beperken.

25/10/2023 · 5 minuten leestijd

Cyberaanvallen door derde partijen treden op wanneer een aanvaller toegang krijgt tot de gegevens of systemen van een organisatie via hun toeleveringsketen, die bestaat uit leveranciers, onderaannemers en/of dienstverleners. Een aanval tegen een enkele leverancier kan gevoelige gegevens van meerdere organisaties tegelijk raken, met verstrekkende gevolgen die de financiële resultaten kunnen beïnvloeden en reputatieschade kunnen veroorzaken.

Zoals recente nieuwsberichten aangeven, nemen deze soorten aanvallen toe. Dit benadrukt hoe belangrijk het is voor uw organisatie om degetroffen cybermaatregelen van het leveranciersnetwerk dat uw activiteiten ondersteunt, te begrijpen. Cyberrisico's kunnen door alle derde partijen worden geintroduceerd, maar vooral diegenen die technologische verbindingen hebben met, of anderszins toegang hebben tot de gegevens van uw organisatie.

Derde partij aanvallen in cijfers:

61%

van de organisaties is getroffen door aanvallen op de softwaretoeleveringsketen.

69%

van de organisaties is niet tevreden over hun zichtbaarheid met betrekking tot risico's binnen hun leveranciersbestand.

70%

van de bedrijven verhoogt hun investeringen in leveranciersbeheer.

62%

van de systeeminbraken in 2021 werden toegeschreven aan toeleveringsketens.

1700+

organisaties werden vorig jaar getroffen door aanvallen op de toeleveringsketen.

Hoe kan uw organisatie het risico van cyberaanvallen via derde partijen verminderen?

Naast het implementeren van beveiligingsmaatregelen voor uw eigen organisatie, kan uw organisatie overwegen de volgende stappen te ondernemen om de kans en impact van een cyberaanval door derden te verminderen

1. Bepaal de kritieke product- en dienstverleners in uw leveranciersnetwerk.Dit omvat, waar mogelijk, ook het identificeren van kritieke toeleveranciers die de leveranciers van uw organisatie zelf gebruiken. Elk bedrijf besteedt delen van zijn activiteiten uit aan meerdere leveranciers en toeleveranciers. Die leveranciers besteden op hun beurt delen van hun activiteiten uit aan andere leveranciers. En het proces gaat maar door. Hoe groter het ecosysteem, hoe groter het potentiële cyberrisico en de aanvalsoppervlakte voor uw organisatie.

2. Creëer en onderhoud een incidentresponsplan. Bij het opstellen van het plan moet rekening worden gehouden met aanvallen op derde partijen. Het is ook belangrijk om het plan te testen met meerdere scenario's. Zorg ervoor dat crisisoefeningen niet alleen met IT worden uitgevoerd, maar ook met andere belanghebbenden binnen uw organisatie.

3. Gebruik risicokwantificering om het derdenrisico te definiëren en kwantificeren. Dit stelt uw organisatie in staat om de mogelijke impact van een aanval op een derde partij in haar toeleveringsketen te bepalen en belangrijke belanghebbenden op één lijn te brengen over hoe het risico moet worden behandeld.

4. Bekijk uw bestaande cyberverzekeringspolissen om inzicht te krijgen in de dekkingsimplicaties van een aanval op een derde partij in de toeleveringsketen van de organisatie.

5. Verifieer of derde partijen voldoende cyberverzekering hebben om te voldoen aan de eisen van uw organisatie. Dit zorgt voor financiele weerbaarheid en is tevens een indicatie van een minimaal niveau van cyber-risicobeheer bij de betreffende leverancier.. Bepaalde beveiligingsmaatregelen zijn vaak vereist om als verzekerbaar te worden beschouwd.

Scenario's uit de praktijk

De volgende scenario's tonen enkele mogelijke derderisico's waar uw organisatie aan blootgesteld kan worden, en hun potentiële impact als/wanneer ze werkelijkheid worden.

Scenario Potentiële risico Potentiële impact Voorbeeld
Scenario Potentiële risico Potentiële impact Voorbeeld
Schakelt technologieleveranciers in om de dagelijkse operaties mogelijk te maken; heeft technologische connectiviteit met de leverancier. Een technologische verstoring bij de leverancier onderbreekt de activiteiten van het bedrijf. Contingente bedrijfsonderbreking, plus andere extra kosten en uitgaven. Een storing bij een cloudprovider veroorzaakt downtime van de website en voorkomt de uitvoering van bestellingen.
Vertrouwt op technologieleveranciers om de dagelijkse activiteiten mogelijk te maken; heeft technologische connectiviteit met de leverancier. Het compromitteren van de producten/diensten van het technologiebedrijf heeft invloed op het netwerk en/of de gegevens van het bedrijf. Mogelijk cyberincident, zoals een inbreuk of ransomware-aanval, met als gevolg bedrijfsonderbreking en gerelateerde kosten. Een softwarekwetsbaarheid laat een open deur voor aanvallers achter, waardoor ze kwaadaardige code kunnen installeren op het netwerk van het bedrijf.
Vertrouwt vertrouwelijke informatie over klanten en werknemers toe aan een derde leverancier; heeft geen connectie met de leverancier. Een inbreuk op de vertrouwelijke informatie van het bedrijf veroorzaakt door de leverancier. Privacy-incident met zowel eerste- als derdepartijkosten. De loonadministratieprovider lijdt aan een inbreuk op de informatie van werknemers, of een technologieleverancier compromitteert klantloyaliteitsinformatie
Is afhankelijk van een derde leverancier voor specifieke goederen/diensten; heeft geen technologische connectiviteit met de leverancier. Technologiestoring bij de derde partij leverancier stopt of belemmert het vermogen van het bedrijf om inkomsten te genereren. Afgeleide bedrijfsonderbreking, plus andere extra kosten en uitgaven Een netwerkstoring heeft invloed op het vermogen van een bedrijf om zijn product te ontvangen.

Organisaties kunnen zich proactief wapenen tegen risico's van derden. Dit omvat het definiëren en begrijpen van wat de leveranciersnetwerk van een organisatie vormt, het het maken en testen van een incidentresponsplan. Maar ook het kwantificeren van de impact van het risico van derden om de impact op de balans te begrijpen. Ten slotte is het cruciaal dat derde partijen voldoen aan de verzekerings- en nalevingsvereisten van de organisatie van de eerste partij, bij voorkeur met zo min mogelijk impact in geval van een aanval.

Bij Marsh staan onze risicoadviseurs klaar om u te helpen uw cyber-derdenrisico te evalueren en te mitigeren. Om een gesprek te starten met een van onze adviseurs, kunt u contact opnemen met uw Marsh-makelaar of ons hieronder benaderen.

Neem contact met ons op om te ontdekken hoe Marsh u kan helpen bij het identificeren en beheren van de cyberrisico's in uw toeleveringsketen.

Neem contact met ons op

Onze mensen

Placeholder Image

Gregory Van Den Top

Head of Cyber Risk Consulting Continental Europe

  • Netherlands