Lessons for cyber security between supply chain links within the floriculture sector

Cyberveiligheid tussen schakels Gescheiden omgevingen Het is volgens cybersecurityprofessionals belangrijk dat netwerken van verschillende bedrijven (externe leverancier en intern netwerk) gescheiden blijven, zodat er niet direct toegang kan worden verkregen tot het gehele netwerk. Beperk ook de impact van een mogelijk incident door te werken met ‘blast zones’, zodat een aanval niet uitspreidt. Contractuele eisen en afspraken op het gebied van cyberveiligheid Stel als afnemer eisen aan toeleveranciers op het gebied van cyberveiligheid. De AVG helpt daarin: bedrijven zijn eerder geneigd zich aan de regels te houden. Werk bijvoorbeeld enkel samen met toeleveranciers die voldoen aan de eisen van de ISO, aldus een ICT-dienstverlener. Controleer ook of partners aan die eisen voldoen in de vorm van audits. Leg als afnemer ook bij aanvang van de samenwerking met ICT-dienstverleners belangrijke zaken vast in het contract (Service Level Agreement), zoals in welke gevallen een incident aangemerkt wordt als hoge prioriteit en wat de klant in dat geval mag verwachten. Dit verschilt tussen bedrijven: een vastgelopen printer kan voor een bedrijf veel invloed hebben op de bedrijfsvoering, terwijl voor een ander bedrijf printers geen rol spelen. Balans contractuele eisen en partnership Hoewel voorwaarden in het contract belangrijk zijn, is het volgens een ICT-dienstverlener echter ook van belang dat de relatie tussen ICT-dienstverlener en afnemer berust op partnership. Veel afnemers zijn nog ‘klassiek denkend’. Dit houdt in dat er vaak wordt vastgehouden aan strakke voorwaarden uit het contract, waardoor er weinig ruimte voor verbetering en innovatie is. Zorg dus voor voorwaardelijke en budget-technische ruimte in het contract om veranderingen door te kunnen voeren als ICT-dienstverlener. Het daadwerkelijk kwantificeren van deze ruimte blijkt echter lastig in de praktijk. “Hoe meer kadering, hoe minder innovatie. In principe ben je ook wel gebonden aan de voorwaarden in het contract, maar er is niet vaak ruimte voor verbetering die je graag zou willen doorvoeren. (cybersecurityexpert) ” Partnership heeft voornamelijk betrekking op vertrouwen: gezamenlijk optreden en als leverancier betrokken raken bij businessvraagstukken van de klant. Informatiestroom naar kleine ketenpartners Kleinere partijen in een keten hebben behoefte aan concrete adviezen of maatregelen die ze kunnen nemen, zoals welke vragen ze moeten stellen aan diens ICT-dienstverleners. Maak een dergelijk houvast beschikbaar, zorg dat bedrijven ontvankelijk zijn voor die informatie en daar vervolgens ook op acteren, zo stelt een cybersecurityexpert. Niet alleen de overheid, ook grote bedrijven hebben daar een taak in richting hun ketenpartners. Zorg bovendien voor een automatische informatiestroom van ICT-dienstverlener naar afnemer en vertaal de informatie hierbij naar relevantie voor de afnemer. Structureel overleg met partners Zorg dat op vaste momenten overleg plaatsvindt met afnemers, leveranciers en ICT-dienstverleners over actualiteiten en potentiële incidenten, aldus een ICT-dienstverlener. Vermijden van gedeelde expertise Een afnemer kiest vaak voor een ICT-dienstverlener die op een bepaald gebied gespecialiseerd is, waardoor grote bedrijven vaak meerdere ICT-dienstverleners hebben. Dat is vanuit de afnemer gezien ook aan te raden. Echter dienen de ICT-dienstverleners wel samen te werken bij het bedienen van de klant. Een factor die bijdraagt aan het succes van de samenwerking tussen ICT-dienstverleners, is of de verschillende dienstverleners gedeelde expertise hebben. Bij gedeelde expertise is er namelijk sprake van competitie, wat een negatief effect heeft op de samenwerking en dus voor de klant zelf.