Nederlandse organisaties kijken heel verschillend naar de risico’s op het gebied van ICT-supply chains. Het blijkt een complexe wereld van digitale ketens.
Tot die conclusie komt TNO na een verkennend onderzoek naar de risico’s en vraagstukken op het gebied van ICT-supply chains. Aanleiding daarvoor is de constatering van het Amerikaanse National Institute of Science and Technology (NIST) dat naar schatting zo’n 80% van de cyberaanvallen wereldwijd plaatsvindt via leveranciers. Een bekend recent voorbeeld is de hack bij SolarWinds.
Het Nederlandse onderzoek naar de risico’s van ICT-supply chains is uitgevoerd in opdracht van het Nationaal Cyber Security Centrum (NCSC) dat stelt dat ‘een volledig beeld ontbreekt van wat er precies valt onder de noemer ICT-supply chain-risico’s’.
TNO heeft geprobeerd deze risico’s op een gestructureerde manier in kaart te brengen door te kijken naar de belangen van de betrokken partijen. De volgende perspectieven zijn in kaart gebracht:
• Inzicht onderdelen keten: dit perspectief richt zich op de verschillende actoren die een rol spelen in de supply chain en welke risico’s daaraan verbonden zijn
• ICT –producten en -diensten: bij deze twee perspectieven staan het kijken naar de verschillende producten en diensten die een organisatie gebruikt centraal en de eventuele risico’s die daaraan verbonden zijn
• Informatiestromen: dit perspectief heeft als doel om te achterhalen van welke informatiestromen de organisatie afhankelijk is
• Indirecte afhankelijkheid ICT: dit perspectief richt zich op productieprocessen die een indirecte koppeling hebben met ICT
Het NCSC onderzoekt tot en met 2022 de ICT-supply chain. In de volgende fase van het onderzoek worden de perspectieven getoetst aan de praktijk en verder uitgewerkt in concrete handelingsperspectieven, aldus het NCSC.
