5 Tips voor een goede ketenrisicoanalyse
Noodzaak tot inzicht in ketenrisico’s
Samenwerkingsverbanden tussen organisaties (overheid, bedrijfsleven, instellingen, etc.) zijn niet meer weg te denken in de huidige maatschappij. Overheden zoals inspectiediensten, omgevingsdiensten en veiligheidsregio’s werken samen voor bijvoorbeeld de vergunningverlening, toezicht en handhaving. Ziekenhuizen, huisartsen en apothekers voor verlenen van zorg en in het bedrijfsleven is de ‘supply chain’ voor levering van goederen van levensbelang. De afhankelijkheden waarmee verschillende gemeenten zijn geconfronteerd ten tijde van de Log4j kwetsbaarheid, en de ontwikkelingen in Oekraïne die de paraatheid van onze digitale weerbaarheid op de proefstellen, onderstrepen de afhankelijkheid en complexiteit van de ketens waar we onderdeel vanuit maken.
Deze voorbeelden hebben een ding gemeen: er is een onderliggende informatievoorziening die alle partijen verbindt en die het mogelijk maakt om informatie met elkaar te delen, goederen te verschepen en diensten te leveren. Het oude gezegde ‘de ketting is zo sterk als zijn zwakste schakel’ gaat ook hier op: hoe veilig is de informatievoorziening in de keten en hoe stel je zeker dat alle schakels in de keten even sterk zijn?
Handreiking ketenrisicoanalyse van de VNG
De informatiebeveiligingsdienst (IBD) van VNG Realisatie onderkent het vraagstuk van de keten en heeft daarom een handreiking Ketenrisicoanalyse opgesteld. “Het doel van dit document is een handreiking te verschaffen voor gemeenten die in ketens samenwerken en die ketenrisico’s willen onderkennen en mitigeren”. Sinds januari 2022 is versie 1.0 voor algemeen gebruik beschikbaar, zie deze link. De handreiking sluit inhoudelijk aan op onder meer de Baseline Informatiebeveiliging Overheid (BIO) en de standaarden voor informatiebeveiliging ISO 27001 en ISO 27002.
De handreiking biedt in vijf uitgewerkte stappen (en 13 activiteiten) een gedegen aanpak voor de ketenrisicoanalyse. Te beginnen met het bepalen van de scope. Daarna het beschrijven van de keten en de onderlinge afhankelijkheden in processen, systemen en interface. Voorts het bepalen van de impact van een verstoring in de keten en daarna een verdere verdieping voor het vaststellen van cyberdreigingen en risico’s. De laatste stap is het bepalen van de maatregelen en het opstellen van actieplannen. In de bijlagen zijn sjablonen, formats en checklists opgenomen.
Uitgangspunten voor een ketenrisicoanalyse
De aandacht die de IBD geeft aan het ketenvraagstuk is naar onze mening volledig terecht: we zijn als maatschappij enorm afhankelijk van ketens. In de vorm van talloze klant-leverancier relaties en in de vorm van coproductie van taken en diensten (ketenpartner-ketenpartner relaties). Ook gemeenten. Toch bekruipt ons bij de handreiking Ketenrisicoanalyse een ongemakkelijk gevoel. De voorgestelde aanpak is top down met alle ketenpartijen en dus omvangrijk. Wie gaat dat doen? Een gemeente maakt deel uit van vele ketens, welke pakt men op en welke (nog) niet? De IBD stelt zelf vast dat er vaak geen keteneigenaar is, wie gaat het starten en coördineren?
De omvang van het werk en de coördinatielast schrikt af. Daarom pleiten wij voor de volgende uitgangspunten bij het uitvoeren van een ketenrisicoanalyse:
- Elke organisatie past een bottom up aanpak toe aanvullend op de top down aanpak voor de ketenrisicoanalyse.
- Een dergelijke bottom up aanpak is ingericht om kort cyclisch verbeteringen in onderdelen van de keten te identificeren, ontwikkelen, implementeren en te toetsen.
- Elke organisatie is verantwoordelijk voor de eigen informatiebeveiliging.
- Elke organisatie geeft inzage in haar beveiligingsniveau (tot het niveau waarop het van belang is voor de veiligheid van de keten).
- Individuele organisaties gaan bilateraal met elkaar in gesprek en dragen actief bij aan de beveiliging van de keten.
Vijf pragmatische acties voor de ketenrisicoanalyse
Naast deze belangrijke uitgangspunten om succesvol aan de slag te gaan met ketenrisico’s geven we een vijftal pragmatische acties om toe te passen:
- Inventariseer welke interfaces/koppelingen met welke ketenpartner de organisatie heeft. Maak hierbij gebruik van bestaande risicoanalyses en/of business impact analyses.
- Selecteer één ketenpartner op basis van een voor jouw organisatie belangrijk criterium. Denk hierbij aan onder andere aan de mate van risico, zoals financiële schade of imagoschade.
- Bepaal het vigerende veiligheidsbeleid en het gehanteerde basis beveiligingsniveau (BBN) op de interfaces/koppelingen met deze ketenpartner. Bel de CISO van de samenwerkingspartner en maak een afspraak. Het is sowieso een goed idee om af en toe fysiek een kop koffie met elkaar te drinken
- Bespreek gezamenlijk het toegepaste beveiligingsbeleid. Bespreek de achtergronden van eventuele verschillen en de keuzes die hieraan ten grondslag liggen.
- Het is natuurlijk mogelijk dat er een blijvend verschil van inzicht is over het toe te passen beveiligingsbeleid. Bepaal in dat geval om welke ketendiensten het gaat en betrek de andere ketenpartijen. Herhaal stap vier met alle ketenpartijen.
Doen: oefenen en testen van maatregelen
Tenslotte, er is geen kwetsbaarheid die wacht totdat de ketenrisicoanalyse is uitgevoerd. Er is geen crisis die exact verloopt zoals in een business continuity plan of resilience playbook beschreven is. Met andere woorden ‘The proof of the pudding is in the eating’. Ons advies dan ook om als onderdeel van onze bottom up aanpak, zo snel mogelijk aan de slag te gaan met het oefenen en testen van de maatregelen die bijdragen aan de beheersbaarheid en weerbaarheid van de keten.
Wilt u meer weten?
Wilt u meer weten over samenwerkingsverbanden, risicoanalyses en/of oefenen en testen van maatregelen? Of wilt u aan de slag met de vijf acties en zoekt u daarbij ondersteuning? Neem contact op met ruud.boot@vka.nl.