Sterke schakels versterken de keten

Steeds meer organisaties zoeken naar een manier om zichzelf te beveiligen tegen cyberaanvallen. Zij zoeken niet alleen slimme, structurele oplossingen voor hun eigen organisatie, maar ook naar innovatie manieren om veilig samen te werken in de keten. Dit vraagt om nieuwe organisatie- en samenwerkingsmodellen. Het lectoraat Digitalisering en Veiligheid werkte mee aan een ontwerponderzoek naar oplossingen voor ketensamenwerking tussen high tech mkb’s in Brainport Eindhoven, zodat ze beter gewapend zijn tegen cybercrime.

Het ontwerponderzoek ‘Sterke schakels versterken de keten’ richtte zich op de directies van high tech mkb’s en op directies van publieke organisaties in het innovatie ecosysteem Brainport Eindhoven. De kennisintensieve maakindustrie in deze regio kenmerkt zich door de productie van technisch complexe producten in kleine volumes. Daarnaast is er een levendige creatieve industrie met volop ruimte voor innovatieve startups.

ASML en ketens in het ecosysteem

Binnen dit ecosysteem neemt een aantal grote bedrijven, waaronder ASML, een belangrijk rol in. ASML maakt zeer complexe lithografiesystemen die door andere bedrijven worden gebruikt om computerchips te produceren. In het ecosysteem zitten ketens van high tech bedrijven die componenten en diensten aan ASML leveren. Samenwerking en open innovatie zijn essentieel, maar dit brengt ook grote risico’s met zich mee: denk aan datalekken, cyberaanvallen of spionage op bedrijven in de ketens. Als dit een bedrijf in deze ketens overkomt, heeft dat ook grote gevolgen voor het ecosysteem. Het vergroten van de cyberweerbaarheid is dus in het belang van de gehele keten.

Een organisatie die cyberweerbaar is, is in staat een aanval op zijn digitale bedrijfsprocessen tijdig te ontdekken, de schade te beperken en hier ook snel van te herstellen. Voor mkb’s is samenwerking de sleutel tot een betere cyberweerbaarheid: als ze hun expertise en doorzettingsmacht met elkaar delen, kunnen ze gezamenlijk leren en kosten delen. Bovendien richten cyberaanvallen zich tegenwoordig niet alleen meer op individuele bedrijven, maar ook op de zwakke schakels tússen bedrijven of publieke organisaties. Het cyberweerbaar maken van ketens en netwerken verdient daarom hoge prioriteit; ook daarvoor is samenwerking essentieel.

Doel onderzoek

Doel van het onderzoek was om inzicht te krijgen in de praktische aspecten die een rol spelen bij cybersecurity in de keten, waarbij de kleinere spelers konden leren van de grote. Daarvoor werd een literatuuronderzoek uitgevoerd, werden interviews gehouden en workshops georganiseerd. In een pilotonderzoek bij zestien high tech mkb’s werd vervolgens de praktische haalbaarheid van specifieke ketenbeveiliging in het ecosysteem getoetst.

Het onderzoek werd uitgevoerd door het lectoraat Digitalisering en Veiligheid in samenwerking met het Cyber Weerbaarheidscentrum Brainport, het Regiobureau Integrale Veiligheid Oost-Brabant, ASML en Cyber4Z. Het werd gesubsidieerd door het CCV Programma Lokale Cyberweerbaarheid en het Digital Trust Centre (DTC).

Conclusies en aanbevelingen

De conclusie van het onderzoek was dat er goede kansen zijn voor samenwerking, dat de noodzaak groot is en dat het verkennen van publiek-private samenwerking in schaalbare vervolgpilots gewenst is, om het concept verder te ontwikkelen en concretiseren. Dit zijn de belangrijkste aanbevelingen:

• Ter voorbereiding op de pilots moet voor elk van de (beoogde) deelnemende bedrijven een business case (verder) worden uitgewerkt.
• Ook zouden er roadmaps beschikbaar moeten komen voor de deelnemers, die hen houvast bieden bij de uitvoering. Daarmee kunnen ze tevens de timing en het tempo van de te nemen stappen afstemmen op hun resources, zoals geld voor de inhuur van (implementatie)consultants of een andere IT-leverancier, of uren voor training en bijscholing van personeel en interne implementatie.
• Ondernemers maken zich zorgen over een (nieuw) oerwoud aan certificaten en het onderhoud ervan. Standaardisatie, door te werken met toolkits van brancheorganisaties, CYRA en DTC, zou door certificatieorganisaties geaccepteerd moeten worden.
• Samenwerking in de keten wordt gezien als een goede kans. Ook is geopperd samenwerking in pps-constructen te verkennen. Onderdeel van die samenwerking zou kunnen zijn om bepaalde functies te delen. Voor de functies shared cyberprofessional(s) en shared CISO definieert het onderzoeksrapport de belangrijkste kenmerken.

Vervolg

Het lectoraat vervolgt het ontwerponderzoek in het kader van het project flagship Cyberweerbare Organisaties. Brainport Cyberweerbaarheidscentrum zet in samenwerking met Avans en de andere partners de pilots voort en streeft naar een opschaling ervan in 2024.