Cyberaanvalrisico stijgt enorm: bijna de helft van organisaties die vitale infrastructuur beheren mist zicht op supply chain
Sectoren die als essentieel worden beschouwd voor het functioneren van de Nederlandse maatschappij bevinden zich in een escalerende strijd tegen cyberdreigingen.
Onderzoek van DNV Cyber toont aan dat dreigingsactoren zoals cybercriminelen en nationale staten, zich richten op digitale kwetsbaarheden van supply chains die met hen verbonden zijn. Daarnaast wordt de regelgeving voor het bestrijden van deze snelgroeiende dreiging rondom cybersecurity in de supply chain strenger. Voor het bestrijden van deze situatie en voor het garanderen van veerkracht, is het noodzakelijk dat organisaties hun bekwaamheid verbeteren.
Bijna de helft (49%) van de Nederlandse respondenten die werken in de vitale infrastructuur denkt dat hun organisatie volledig zicht heeft op cybersecuritykwetsbaarheden in de supply chain van hun organisatie. Dit verhoogt het risico op cyberaanvallen via gekoppelde netwerken, componenten, software en externe serviceleveranciers.
DNV Cyber heeft onderzoek uitgevoerd onder meer dan 1.150 professionals die werkzaam zijn in vitale infrastructuursectoren zoals energie, maritiem, de maakindustrie en de gezondheidszorg. Hieruit blijkt dat 29% van de ondervraagden denkt dat cyberaanvallers hun supply chain mogelijk hebben geïnfiltreerd zonder dat leveranciers dit hebben gemeld.
“Je kunt niet beveiligen wat je niet kent. Organisaties moeten meer inzicht krijgen in de kwetsbaarheden van hun supply chain. Verder moeten zij aan de slag met een aanpak die meer zicht houdt op wat de leveranciers binnen brengen en de activiteiten die ze verrichten. Voor het versterken van de cybersecurity in de supply chain doen organisaties er verstandig aan om de cybersecurityeisen op te nemen in de inkoop- en leverancierscontracten. Daarnaast is het raadzaam om meer en eerder aandacht te besteden aan security bij het ontwerp van installaties, bedrijfsprocessen, -middelen en het trainen van de teams die zich bezighouden met de operatie, dus niet alleen de cybersecurityteams, maar vooral ook de operators, de engineers en bijvoorbeeld de inkoopafdelingen. Het stellen van eisen alleen is onvoldoende. Bedrijven moeten voortdurend blijven testen om risico’s inzichtelijk te houden. Daarnaast is het noodzakelijk om een goede detectie- en responscapaciteit te hebben, waarbij de partijen uit de supply chain vaak een essentiële rol spelen. Hierover dienen vroegtijdig afspraken te worden gemaakt en moet er ook geoefend worden”, zegt Auke Huistra, Directeur Industriële en OT-cybersecurity bij DNV Cyber.
Supply chains zijn een aantrekkelijk doelwit voor cyberaanvallen, omdat ze een mogelijke toegang vormen tot meerdere organisaties en systemen, waaronder vitale infrastructuren. Aanvallers passen hun aanpak continu aan en ontwikkelen steeds geavanceerdere tactieken die moeilijk te detecteren zijn. Zo is 71% van de Nederlandse professionals van mening dat cybersecuritytraining van de medewerkers in hun organisatie onvoldoende is om personeel voor te bereiden op geavanceerde dreigingen.
Een voorbeeld van een aanval via de supply chain is de geraffineerde cyberaanval SolarWinds in 2020.Volgens de Amerikaanse overheid kraakte de Russische Foreign Intelligence Service (SVR) de software van het IT-monitoringbedrijf. Hierdoor kregen hackers toegang tot de netwerken, systemen en data van duizenden klanten, waaronder overheden en kritieke infrastructuurorganisaties.
In 2023 leidde een inbraak in bestandsoverdrachtsprogramma MOVEit tot diefstal van gegevens van duizenden organisaties wereldwijd. Onder de slachtoffers zaten kritieke infrastructuursectoren zoals de energie- en healthcare sector.
Een recenter voorbeeld is de aanval op een van de grootste zorgverleners in het Verenigd Koninkrijk vorig jaar. Een ransomware aanval op Synnovis, een leverancier van pathologiediensten, in 2024 had direct impact op verschillende ziekenhuizen die hier gebruik van maakten. Dit veroorzaakte vertragingen bij dringende en spoedeisende zorg. Uiteindelijk leidde dit tot uitstel van duizenden poliklinische afspraken en keuzeprocedures. Ander onderzoek toont aan dat de Nederlandse zorgsector de meeste cyberaanvallen te verwerken krijgt. Dat ziekenhuizen en zorginstellingen beter voorbereid moeten zijn, wordt inmiddels ook beaamt door de Europese Commissie. Zij komen namelijk met een actieplan rondom de cyberveiligheid van ziekenhuizen.
Organisaties die kritieke infrastructuur beheren, investeren meer in cybersecurity. Ook nemen zij stappen voor het beveiligen van IT en operationele technologie (OT). Verder worden systemen die fysieke apparaten en processen besturen extra bewaakt en bestuurt. Toch waarschuwt DNV in het recente onderzoek dat als de cybersecurity van de supply chain van organisaties niet op dezelfde manier wordt versterkt, dit weinig verschil maakt. Aanvallen op digitale technologieën hebben direct invloed op de ‘echte wereld’ van fysieke bedrijfsmiddelen en activiteiten. Cyber-fysieke aanvallen vormen dus een toenemend probleem.
Desalniettemin vertrouwt bijna de helft (49%) van de professionals in de kritieke infrastructuur erop dat hun organisatie in staat is om cybersecurityverplichtingen op te nemen in nieuwe contracten met leveranciers. Daarbij geeft 75% van de respondenten aan dat hun organisatie cybersecurity integreert in de eerste fasen van nieuwe infrastructuurprojecten.
“De gevolgen van een cyberinbraak kunnen binnen kritieke infrastructuren en OT-omgevingen zeer ernstig zijn. Het kan invloed hebben op de nationale veiligheid, de samenleving en de economie. Het is dus cruciaal dat alle organisaties hun supply chain beveiligen”, zegt Huistra. “Leveranciers van systemen en diensten kunnen een doorslaggevende rol spelen bij het verbeteren van de security. Hierbij is het van belang dat de eigenaren van de vitale objecten eisen stellen aan hun leveranciers. Dit kunnen zij doen op basis van het risicoprofiel van hun organisatie en de vereisten die wet- en regelgeving aan hun organisatie stellen. Daarnaast is het controleren van de daadwerkelijke implementatie van de vereiste maatregelen essentieel. Samenwerking binnen heel de supply chain is cruciaal. Hieronder valt ook het delen van informatie over kwetsbaarheden en incidenten.”
Tijdig reageren op supply chaindreigingen met strengere regelgeving
Volgens het Cyber Priority-onderzoek is regelgeving de grootste aanjager van investeringen in de cybersecurity van vitale infrastructuren. Het behoort tot een van de beste drijfveren voor het daadwerkelijk investeren in cybersecurity en het daarmee versterken van de cyberweerbaarheid.
Ook verschillende overheden scherpen regelgevingen aan. Zo gaat de Europese richtlijn Netwerk- en Informatiesystemen 2 (NIS2), die in Nederland wordt omgezet in de nieuwe Cyberbeveiligingswet, in op de risico’s binnen de supply chain en relaties met leveranciers. Verder vereist de Europese Cyber Resilience Act (CRA) dat leveranciers van producten met een ‘slim’ element’, inclusief industriële IoT-producten, voldoen aan de stengere cybersecuritynormen. Dit heeft gevolgen voor het ontwerp-, ontwikkelings- en implementatieproces, waarin cybersecurity meegenomen moet gaan worden.
Ook maakt regelgeving op sectorniveau een verschil. De International Association of Classified Societies (IACS) unified requirements (IACS UR-E26 en UR-E27) heeft in de maritieme sector verplichte cybersecurityeisen vastgesteld. Dit geldt voor schepen die na 1 juli 2024 worden gecontracteerd, maar ook voor systemen en apparatuur aan boord. Deze regelgeving heeft de implementatie van cybersecuritycontroles voor werven, ontwerpers, Original Equipment Manufacturers (OEM’s) en eigenaren tijdens het ontwerp en de exploitatie van schepen een enorme boost gegeven.
Samenwerking is sleutel tot versterking cybersecurity
Om de evoluerende dreigingen weerstand te bieden, moeten bedrijven regelgeving voorblijven. Dit kan bijvoorbeeld via gemeenschappelijke inspanningen. Een voorbeeld hiervan zijn de samenwerkingsverbanden in Nederland zoals de ISACs (Information Sharing and Analysis Centers) voor de vitale infrastructuren, die worden gehost door het Nationaal Cyber Security Center als ook diverse regionale initiatieven zoals in de Rotterdamse haven en Brainport Eindhoven. Het opstellen van voorbeelden voor cyberweerbaarheid binnen de maritieme- en energiesector zijn andere voorbeelden. Er is veel steun voor zo’n aanpak. Uit het Cyber Priority-rapport blijkt namelijk dat 92% van de Nederlandse professionals binnen de kritieke infrastructuur het eens is dat er meer moet worden samengewerkt ter bevordering van een gecoördineerde aanpak van cybersecurity.
Er zijn verschillende relevante cybersecuritynormen, zoals bijvoorbeeld de IEC 62443 voor de security van operationele technologie (OT) in industriële besturingssystemen. Om deze gemakkelijk te implementeren, is het belangrijk om goede praktijkvoorbeelden te hebben over hoe deze daadwerkelijk te implementeren in iedere sector. Dit maakt de ook de verwachting van de verschillende partijen in de supply chain inzichtelijk, aangezien zowel de eigenaren van de vitale infrastructuur als hun leveranciers een bijdrage aan het geheel moeten leveren.
Een voorbeeld hiervan is het Joint Industry Project voor OT Cybersecurity in de offshore windsector. Dit initiatief, opgezet door DNV en Siemens Energy, ontwikkelt een aanpak tegen cyberdreigingen in de offshore windsector. Verschillende grote spelers die een rol spelen in de supply chain werken hieraan mee. Dit is van essentieel belang, aangezien kritieke bedrijfsmiddelen sterk afhankelijk zijn van de leveranciers.
Supply chainsecurity moet beter
Uit het Cyber Priority-onderzoek van DNV Cyber blijkt dat vitale infrastructuursectoren meer aandacht moeten hebben voor het cybersecurity in de supply chain. Dit is een belangrijk verbeterpunt om de beschikbaarheid van onze vitale infrastructuren hoog te houden.
Lees meer in de gedetailleerde Cyber Priority-rapporten:
Over het Cyber Priority-onderzoek
Het Cyber Priority-onderzoek van DNV Cyber gaat in op de veranderende houding en aanpak ten opzichte van cybersecurity in belangrijke industriële sectoren. De nieuwste editie van het onderzoek voor 2024/2025 is gebaseerd op een cross-sector enquête onder meer dan 1.150 professionals en interviews met marktleiders. Het onderzoek is uitgevoerd tussen september 2024 en januari 2025.
Het rapport Energy Cyber Priority 2025: Addressing Evolving Risks, Enabling Transformation onderzoekt de meningen van 375 energieprofessionals die hebben gereageerd op de enquête, aangevuld met diepte-interviews en analyses van DNV Cyberexperts en marktleiders, onder andere van E-REDES, Siemens Energy, Fortified Technologies en Fortum.
Het rapport Maritime Cyber Priority 2024/25: Managing Cyber Risk to Enable Innovation onderzoekt de meningen van bijna 500 maritieme professionals die hebben gereageerd op de enquête, aangevuld met diepte-interviews en analyses van marktleiders en DNV Cyber-experts.