Keten risicoanalyse aanpak
Ketens, ze zijn overal. Ook gemeenten werken samen in vele ketens. Binnen de gemeente zelf, tussen gemeenten onderling en met de landelijke overheid. Ketens zijn er in vele vormen. Zo zijn er productieketens, maar er zijn ook informatieketens. Ook die informatieketens kennen verstoringen waardoor een product of dienst niet meer geleverd kan worden.
Doorgaans kijken we bij een risicoanalyse naar een proces en een onderliggend informatiesysteem, en vaak niet verder. Maar het is ook noodzakelijk om naar antwoorden te zoeken op vragen als waar komt mijn informatie vandaan en aan wie lever ik informatie. En welke eisen kunnen aan deze informatiestromen gesteld worden?
Onder risicobeheer in de toeleveringsketen kan worden verstaan “de implementatie van strategieën om zowel alledaagse als uitzonderlijke risico’s in de toeleveringsketen te beheren op basis van continue risicobeoordeling met als doel de kwetsbaarheid te verminderen en de continuïteit van de keten te waarborgen”.
Er is de laatste jaren steeds meer aandacht voor supply chain beveiliging/keten risico’s. Dat blijkt ook uit een recent het TNO-onderzoek over Supply Chain Risk Management (SCRM) uitgevoerd in opdracht van het NCSC.
De IBD heeft een Handreiking ketenrisicoanalyses voor gemeenten ontwikkeld. Deze handreiking is gebaseerd op een document van de Cyber Security Raad (CSR) uit 2015 genaamd “Cybersecurity Supply chain risicoanalyse”. Zoals de titel van het document al zegt, helpt deze analyse om cybersecurity risico’s in een productieketen in kaart te brengen. Door niet alleen naar eigen risico’s te kijken maar ook naar risico’s van ketenpartners die betrokken zijn bij een productieproces, kan met dat inzicht de gehele keten worden versterkt.
Het CSR-document richt zich puur op industriële omgevingen. Maar de analyse kan ook worden toegepast op informatieverwerkende ketens. Voor veel organisaties, zoals gemeenten, is informatie een belangrijk productiemiddel. Die informatie komt soms ook van andere partijen of wordt aan andere partijen geleverd als onderdeel van een keten.
Uiteindelijk helpt het inzicht in informatieverwerkende productieketens niet alleen om de keten als zodanig te versterken maar kan het ook gebruikt worden bij BCP – het Business Continuity Planning proces.
Binnen de ketenrisicoanalyse aanpak, zoals die in de handreiking beschreven wordt, is het de bedoeling om zoveel mogelijk informatie uit bestaande risicoanalyses te gebruiken als input. Hiervoor kan ook de informatie worden gebruikt die met de IRPA tooling van de IBD is verkregen.
De aanpak die handreiking biedt, is bedoeld als een advies. Het kan helpen bij het nadenken over risico’s in informatieverwerkende productieketens, waar gemeenten vaak ook deel van uitmaken.
Deze ketenrisicoanalyse aanpak gaat overigens niet over de term “supply chain attack”. Deze term betreft aanvallen op bijvoorbeeld een softwareleverancier, waarbij software wordt aangepast met als doel de klanten van die leverancier te treffen. Voorbeelden hiervan zijn de supplychainaanvallen via Solarwinds en Kaseya.