Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Beheer van cyberbeveiligingsrisico's > Nth-Party risico’s wijzen op de noodzaak van een Private Content Network
Nth-Party risico's wijzen op de noodzaak van een Private Content Network

Nth-Party risico’s wijzen op de noodzaak van een Private Content Network

by Patrick Spencer updated december 14, 2023 Beheer van cyberbeveiligingsrisico's
Reading Time: 5 minutes

Het beperken van risico’s door derden is nog nooit zo cruciaal geweest. Het nieuwe rapport van Riskrecon en Cyentia, getiteld “Risk to the Nth-Party Degree: Parsing the Tangled Web“, werpt licht op een essentieel aspect dat vaak over het hoofd wordt gezien in risicobeheer: het uitbreiden van leveranciersrisico’s voorbij de directe derde partijen. Deze Blog Post is bedoeld om leiders op het gebied van beveiliging, risicobeheer en naleving te begeleiden door de belangrijkste bevindingen en inzichten van dit uitgebreide rapport.

Centraal in dit rapport staat het concept van “nth-party” risico. Traditionele benaderingen van risicobeheer richten zich vaak op directe, derde partijen. In werkelijkheid zijn bedrijven echter verstrikt in een veel complexer netwerk van onderling verbonden organisaties. Dit “nth-party” risico reikt veel verder dan directe leveranciers, is vaak onzichtbaar, maar herbergt wel het potentieel voor aanzienlijke en wijdverspreide gevolgen. Het rapport benadrukt dat aanvallen op elk segment van dit ingewikkelde netwerk een domino-effect kunnen veroorzaken, waardoor meerdere organisaties tegelijkertijd worden getroffen.

Opvallend genoeg wordt de omvang van het nth-party risico vaak onderschat. Het rapport gaat dieper in op de verbazingwekkende prevalentie van deze risico’s en laat zien hoe diep en complex toeleveringsketens met elkaar verweven zijn. Deze onderlinge verbondenheid betekent dat risico’s toenemen naarmate men verder van de kernleveranciers af beweegt. Hoe groter de afstand, hoe diverser en potentieel risicovoller de organisaties worden.

Uitgestrekt karakter van risico’s in de toeleveringsketen

Het RiskRecon-rapport onthult een opvallende realiteit: toeleveringsketens zijn niet lineair, maar vormen een enorm web dat vaak reikt tot de achtste partij en verder. Opmerkelijk is dat 87% van de toeleveringsketens die in het rapport zijn geanalyseerd dit niveau bereikt, wat wijst op een complex netwerk waarbij risico niet alleen een kwestie is van derde partijen, maar ook van nth-party’s.

Bovendien wijst het rapport erop dat het grootste deel van het leveranciersrisico geconcentreerd is in de vierde en vijfde laag. Deze ontdekking is cruciaal. Het betekent dat hoewel de gevolgen van een incident in de toeleveringsketen zich kunnen uitstrekken tot verre lagen, de kern van het risico vaak dichterbij ligt, binnen deze tussengelegen lagen.

De hoeveelheid van deze verbindingen is indrukwekkend. De mediane cijfers uit het rapport tonen aan dat een typische organisatie te maken heeft met 45 derde partijen, 328 vierde partijen en nog eens 301 vijfde partijen. Deze exponentiële toename van het aantal partijen van de derde naar de vierde en vijfde laag (bijna 14 keer zoveel) onderstreept de ontoereikendheid van traditionele strategieën voor risicobeheer in de toeleveringsketen die zich alleen richten op directe leveranciers.

Het web van onderlinge verbondenheid ontrafelen

Het rapport werpt ook licht op het ingewikkelde web van terugkerende en onderling afhankelijke relaties binnen toeleveringsketens. Meer dan 80% van de bedrijven heeft terugkerende verbindingen met derde partijen, waarbij hun leveranciers ook andere partners bedienen. Deze onderlinge verbondenheid betekent dat een incident in één deel van de toeleveringsketen zich snel door meerdere lagen kan verspreiden, met gevolgen voor processen die ver buiten het oorspronkelijke punt van verstoring liggen.

Een opvallende visuele weergave in het rapport illustreert deze onderlinge afhankelijkheid binnen de toeleveringsketen van een voorbeeldorganisatie. Het laat duidelijk zien hoe incidenten bij derde en vierde partijen het risico kunnen vergroten door deze overlappende verbindingen.

Diepere lagen van de toeleveringsketen en toenemende dreigingen

Als we dieper in de toeleveringsketen duiken, onthult het rapport een zorgwekkende trend: een afname van toezicht en een toename van kwetsbaarheid. Er is een duidelijke daling in het niveau van discretie en grondigheid waarmee partnerschappen worden geëvalueerd naarmate men verder van de directe derde partijen af beweegt. Deze verslapping van waakzaamheid hangt samen met een aanzienlijke stijging van het risico op datalekken.

De cyberbeveiligingsstatus over deze lagen heen is veelzeggend. Terwijl 21% van de derde partijen in de afgelopen drie jaar een datalek heeft meegemaakt, daalt dit percentage bij diepere relaties. Echter, vanaf de vijfde en zesde partij ontvangen veel leveranciers slechts een C of lagere beoordeling op het gebied van beveiliging, waarbij 14,6% van de vijfde partijen een D- of F-score krijgt.

Wat betreft diversiteit in de toeleveringsketen, komt de grootste variatie voor bij de vijfde en zesde partij. Deze diversiteit, die in sommige opzichten voordelig kan zijn, hangt samen met een grotere kans op nth-party datalekken. Deze bevinding onderstreept een belangrijk punt: diversiteit in de toeleveringsketen kan een tweesnijdend zwaard zijn, dat aan de ene kant veerkracht biedt, maar aan de andere kant uiteenlopende praktijken en potentiële kwetsbaarheden introduceert.

Het cascade-effect bij verstoringen in de toeleveringsketen ontrafelen

Het rapport biedt een overtuigende analyse van hoe verstoringen in de toeleveringsketen zich razendsnel verspreiden. Een enkel incident bij een derde of vierde partij kan een domino-effect veroorzaken dat een aanzienlijk deel van het onderling verbonden netwerk raakt.

De cijfers zijn veelzeggend: een datalek bij een derde partij treft gemiddeld 29% van de onderling verbonden leveranciers. De impact van een datalek bij een vierde partij is ook aanzienlijk en raakt gemiddeld 12,8% van de derde partijen. Simulaties in het rapport suggereren dat over een periode van drie jaar een datalek op het niveau van de vierde partij mogelijk elke derde partij in het netwerk kan treffen.

Deze “virale” verspreiding van incidenten benadrukt de onpraktische aard van benaderingen die zich richten op indamming of isolatie in een omgeving waar partners nauw met elkaar verbonden zijn. Het onderstreept de noodzaak van een allesomvattend perspectief dat het potentieel voor wijdverspreide impact van elk datalek binnen de toeleveringsketen erkent.

Effectieve strategieën voor risicobeheer in de toeleveringsketen implementeren

Gezien de complexiteit en omvang van nth-party risico’s zijn traditionele risicobeheer-methoden onvoldoende. Het rapport stelt diverse praktische stappen voor voor een meer allesomvattende aanpak:

1. Identificatie van leveranciers met hoge waarde

Identificeer en beoordeel leveranciers die, als ze gecompromitteerd raken, een aanzienlijke impact kunnen hebben op uw bedrijfsvoering of gegevensbeveiliging. Breid deze beoordelingen uit naar hun vierde en vijfde partij-netwerken om een vollediger beeld te krijgen van potentiële risico’s.

2. In kaart brengen van kritieke kruispunten

Identificeer belangrijke punten waar één leverancier meerdere partners bedient. Deze knooppunten zijn cruciaal omdat ze potentiële hotspots vormen voor de verspreiding van risico’s.

3. Geautomatiseerde risicobewaking

Implementeer geautomatiseerde bewakingssystemen zodra er nieuwe leveranciersrelaties ontstaan. Deze dynamische aanpak zorgt voor realtime zichtbaarheid en snelle respons naarmate het aanvalsoppervlak zich ontwikkelt.

4. Toewijzing van middelen

Verdeel de middelen voor beveiligingstoezicht gelijkmatiger over de verschillende lagen van de toeleveringsketen. Door alleen te focussen op primaire, directe leveranciers blijven er aanzienlijke kwetsbaarheden in de lagere lagen onopgelost.

Gebruik een Private Content Network om risico’s in de toeleveringsketen te verminderen

Met Kiteworks Private Content Networks kunnen organisaties de risico’s op het gebied van gegevensbeveiliging in de toeleveringsketen beperken door middel van beveiligde bestandsoverdracht en samenwerking, robuuste beleidscontroles en gedetailleerde logs. De beveiligde bestandsoverdracht van het platform is essentieel om kwetsbaarheden in de toeleveringsketen te beperken, vooral bij het overdragen van gevoelige informatie. Door encryptie toe te passen, wordt de vertrouwelijkheid en integriteit van gegevens tijdens verzending en opslag gewaarborgd.

Zero-trust beleidsbeheer in Kiteworks stelt organisaties in staat om naleving van diverse regelgeving, zoals NIST 800-171, af te dwingen en zo de beveiligingsstatus tegen risico’s door derden verder te versterken. Bovendien bieden de gedetailleerde logs van Kiteworks transparantie en traceerbaarheid, waardoor organisaties gegevensuitwisselingen kunnen monitoren en analyseren. Deze allesomvattende benadering van gegevensbeveiliging beschermt niet alleen tegen datalekken, maar verbetert ook de naleving van regelgeving binnen de toeleveringsketen.

Rapportinzichten vereisen actie

Het rapport van RiskRecon en Cyentia maakt duidelijk dat het risico in de toeleveringsketen veel complexer en onderling verbonden is dan voorheen werd aangenomen. Rapportinzichten zijn een oproep tot een bredere, meer genuanceerde benadering van risicobeheer in de toeleveringsketen. Door een allesomvattende strategie te omarmen die continue monitoring en beperking van bedreigingen in het volledige ecosysteem van de toeleveringsketen omvat, en door het zorgvuldig beheren van communicatie over gevoelige inhoud, kunnen organisaties hun veerkracht en operationele betrouwbaarheid aanzienlijk vergroten bij onvermijdelijke verstoringen.

Voor meer informatie over het Kiteworks Private Content Network, plan vandaag nog een op maat gemaakte demo in.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks