'Cyberveiligheid vraagt om transparantie: klanten moeten leveranciers kunnen testen'

Bij de gemeente Amersfoort zijn persoonlijke gegevens gelekt via een kwetsbaarheid in de testsystemen van een IT-leverancier, die op zijn beurt weer gebruik maakte van een externe leverancier. Dit onderstreept een urgent probleem. Organisaties vertrouwen op hun leveranciers, maar wie is er verantwoordelijk als het misgaat? Dit incident toont aan dat cybersecurity niet stopt bij de eigen voordeur, maar een gezamenlijke verantwoordelijkheid is binnen de hele keten. Klanten moeten het recht krijgen om de beveiliging van hun leveranciers zelf te testen.

Veel bedrijven focussen op hun interne beveiliging, maar de afhankelijkheid van externe leveranciers maakt hen kwetsbaar. Eén zwakke schakel kan een domino-effect veroorzaken. Organisaties moeten niet alleen hun eigen digitale weerbaarheid in kaart brengen, maar ook actief controleren hoe veilig hun leveranciers opereren en met welke dreigingen zij te maken hebben. Dat vraagt om een cultuuromslag.

Hoewel er technische oplossingen bestaan, zoals attack surface management en geautomatiseerde security-scans, zetten bedrijven deze voornamelijk in voor het beschermen van hun eigen digitale omgeving. Maar bedrijven moeten ook de mogelijkheid hebben om hun leveranciers periodiek te testen en mogen eisen dat leveranciers dit toestaan. Vandaag de dag zijn de meeste leveranciers wat argwanend en niet bereid om dergelijke controles te laten uitvoeren. Dit zou echter niet als een inbreuk, maar als een gedeelde verantwoordelijkheid gezien moeten worden.

Daarnaast zou wetgeving duidelijkheid moeten scheppen over de mate waarin klanten eisen mogen stellen aan de beveiliging van hun leveranciers. Op dit moment ontbreekt hier een eenduidig kader voor, wat leidt tot onduidelijkheid en onnodige risico’s. Overheden en brancheorganisaties spelen hierin een cruciale rol door richtlijnen en standaarden te ontwikkelen die deze gezamenlijke aanpak stimuleren.

Cyberaanvallen worden steeds geavanceerder en complexer. Alleen door samenwerking en transparantie kan de digitale veiligheid in de hele keten worden versterkt. Het is tijd dat organisaties niet alleen naar hun eigen beveiliging kijken, maar ook eisen dat hun leveranciers aantoonbaar veilig opereren en bereid zijn om getest te worden.