Cyberbeveiligingsbeoordelingsdiensten scoren toeleveringsketenrisico
Een groeiende marktsector helpt bedrijven de cyberbestendigheid en kwetsbaarheden van zakenpartners te beoordelen.
Hoofdpunten
- Cybersecurityratings doen voor veiligheid wat kredietratings doen voor financiën.
- Zij kunnen de cyberkwetsbaarheden van elk bedrijf, groot of klein, extern beoordelen.
- Risicobeheer van de toeleveringsketen is hun grootste toepassing.
Ratings voor cyberbeveiliging staan op het punt hun plaats in te nemen naast kredietratings als geloofsbrieven voor zakendoen in de digitale economie. Net zoals Moody's, Fitch en Standard & Poor's financiële risico's van bedrijven beoordelen, komen er nu ook cyberbeveiligingsbeoordelingsdiensten die het beveiligingsrisicoprofiel van bedrijven beoordelen. De vergelijking is bijzonder treffend omdat beide soorten risico's de vooruitzichten van een bedrijf in gevaar kunnen brengen en iedereen die er zaken mee doet naar beneden kunnen trekken.
Op basis van de cyberbeveiligingsrating van een bedrijf kan het worden beschouwd als een meer of minder aantrekkelijke leverancier, klant, overnamedoelwit of verzekeringspolishouder. Beveiligingsprofessionals gebruiken de ratings ook dagelijks om het risicoprofiel van hun eigen bedrijf en dat van hun partners in de toeleveringsketen te controleren.
De markt voor cyberbeveiligingsbeoordelingen heeft nog steeds te kampen met groeipijnen, aldus wereldwijd marktonderzoeker Forrester, die ongelijke prestaties van de zeven toonaangevende beoordelingsdiensten noemt op gebieden als nauwkeurigheid, transparantie en integratie met andere IT-beheerplatforms. [1] Ondertussen heeft Gartner geconcludeerd: "Leiders op het gebied van beveiliging en risicobeheer moeten gebruikmaken van beoordelingsdiensten voor beveiliging om continue, realtime scores te bieden voor interne beoordelingen, inkoop, partnerschappen en M&A-activiteiten." [2]
Om uit te leggen wat cyberbeveiligingsbeoordelingen inhouden, hebben we Alex Rich geïnterviewd, vice-president van marketplace business development bij SecurityScorecard, een van de toonaangevende beoordelingsdiensten en een Mimecast-partner.[3]
Beoordeling van veiligheid van buitenaf
Cybersecurityratings kunnen een outside-in perspectief bieden op de cyberkwetsbaarheden van een bedrijf, aldus Rich. Bedrijven gebruiken ze om bedrijven te beoordelen die een impact kunnen hebben op hun resultaten, van klanten tot concurrenten. De ratings worden ook gebruikt als aanvulling op de interne controle van hun eigen beveiligingsactiviteiten.
Bedrijven die een licentie nemen op deze diensten kunnen kiezen over welke bedrijven zij regelmatig rapporten willen ontvangen, ook over hun eigen bedrijf. SecurityScorecard alleen al beoordeelt 1,5 miljoen bedrijven en biedt een continue stroom van scores samen met de identificatie van specifieke problemen en aanbevelingen om deze aan te pakken.
Cybersecurity-beoordelingsdiensten maken gebruik van een combinatie van wereldwijde internetsensoren, open source intelligence-feeds, databases met softwarekwetsbaarheden en andere tools en methoden om de beveiliging van bedrijven en de risico's die zij lopen te analyseren. Zij meten factoren zoals de kwaliteit van applicatie-, endpoint- en netwerkbeveiliging, evenals activiteiten zoals het patchen van software.[4] Bij SecurityScorecard kan het verzamelen en doorvoeren van deze datapunten door zijn algoritmen binnen 10 minuten een score opleveren voor elk nieuw geselecteerd bedrijf.
Ratingdiensten gebruiken: Een voorbeeld
Stel bijvoorbeeld dat de procedure van een bedrijf om kwetsbaarheden in software te patchen, tekortschiet. Een beoordelingsdienst voor cyberbeveiliging zou de openstaande kwetsbaarheden van dat bedrijf op internet kunnen zien en na verloop van tijd kunnen bijhouden hoe vaak en hoe lang kwetsbare software ongepatcht blijft. Uit deze gegevens zou kunnen blijken of het bedrijf blijk geeft van slechte cyberhygiëne en of het risico op cyberaanvallen, niet-naleving van veiligheidsvoorschriften en andere problemen bestaat.
Een bedrijf dat voor sommige of al zijn leveranciers een licentie heeft genomen op de ratingdienst, kan de volgende stap zetten en de dienst integreren in zijn platform voor risicobeheer door derden. In dat geval kan het platform, als de rating van een leverancier onder een "C" zakt, de leverancier automatisch een waarschuwing sturen of hem zelfs tijdelijk uitsluiten van het netwerk van de licentiehouder. Bij een "C" is de kans op een inbreuk volgens de schaal van SecurityScorecard 4,3 keer zo groot als bij een "F", terwijl bij een "F" de kans op een inbreuk 7,7 keer zo groot is.
Ratings dragen bij tot zichtbaarheid supply chain
Het bovenstaande voorbeeld van de toeleveringsketen is een van de meest voorkomende toepassingen van beveiligingsbeoordelingen. En dat is niet voor niets: Aanvallen op de toeleveringsketen hebben overal ter wereld de krantenkoppen gehaald en het Europees Agentschap voor cyberbeveiliging (ENISA) schatte dat deze aanvallen in 2021 zijn verviervoudigd. [5]
Toeleveringsketens delen vaak netwerktoegang en gevoelige gegevens. "Dit creëert een dynamiek waarbij leveranciers in alle opzichten een verlengstuk van je aanvalsperimeter worden," aldus Rich. Maar terwijl een beveiligingsteam goed zicht en controle heeft over de eigen netwerken en apparaten van het bedrijf, kunnen ze die van hun leveranciers meestal niet bewaken of controleren.
Cybercriminelen vallen vaak zwak verdedigde bedrijven in toeleveringsketens aan om uiteindelijk grotere doelwitten te bereiken. Bijna tweederde van de aanvallen op de toeleveringsketen maakt misbruik van het vertrouwen van klanten in hun leveranciers, aldus ENISA. Om het cyberbeveiligingsrisico van de toeleveringsketen te beheersen, beveelt ENISA aan om zowel outside-in als inside-out te monitoren.
Zowel inkopers als leveranciers in toeleveringsketens maken gebruik van cyberbeveiligingsratings. Grote inkopers houden op deze manier leveranciers in de gaten, maar leveranciers gebruiken de ratings ook om zaken te doen.
Rapportering van beoordelingen aan verzekeraars, toezichthouders, bestuursleden
Cybersecurityratings worden gebruikt in contexten die verder gaan dan de bovenstaande scenario's voor de toeleveringsketen en zelfcontrole, onder meer:
- Cyberverzekering: Gebruikt door verzekeraars om dekking en premies te bepalen.
- Concurrentiebenchmarking: Helpt een reputatie op te bouwen.
- M&As: Ondersteunt due diligence op overnamedoelwitten.
- Compliance: Biedt validatie door derden aan regelgevende instanties.
- Board reporting: Ondersteunt de communicatie van CISO's met het hoger management en de raden van bestuur.
De kern van de zaak
De opkomende markt voor cyberbeveiligingsbeoordelingsdiensten bedient een groeiend aantal bedrijven in verschillende situaties, of ze nu de veerkracht van een M&A-doelwit willen bepalen of gewoon een externe beoordeling van hun eigen cyberbeveiligingssystemen willen krijgen. Het meest voorkomende gebruik is voor een betere zichtbaarheid van kwetsbaarheden in de toeleveringsketen, waar cybercriminelen vaak kleinere verkopers aanvallen om grotere doelwitten te bereiken.
[1] "Cybersecurity Risk Ratings Platforms, Q1 2021," Forrester
[2] "Innovation Insight for Security Rating Services," Gartner
[3] "SecurityScorecard en Mimecast zijn een samenwerking aangegaan," SecurityScorecard
[4] "A Deep Dive in Scoring Methodology," SecurityScorecard
[5] "Understanding the Increase in Supply Chain Security Attacks," Europees Agentschap voor cyberbeveiliging
Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze
Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox
Succesvol aanmelden
Dank u voor uw inschrijving om updates van onze blog te ontvangen
We houden contact!