Grote ondernemingen zoals ASML verplichten hun leveranciers tot het nemen van veiligheidsmaatregelen. Dat gaat vriendelijk, maar is bepaald niet vrijblijvend.

In het kort

  • Grote concerns zijn kwetsbaar voor cyberaanvallen via hun leveranciers.
  • Met masterclasses en informatie proberen zij hun leveranciers te helpen met de cyberweerbaarheid.
  • Wie zijn zaken niet op orde heeft of geen informatie deelt kan een contract vergeten.

Zodra ASML een nieuwe truc van een hacker signaleert, komt het draaiboek uit de kast. Leveranciers en kleinere bedrijven in de buurt worden opgetrommeld voor een ‘masterclass’. Veiligheidsexperts van de hightechgigant uit Veldhoven, die veel geld spendeert aan zijn digitale bescherming, leggen hun collega’s uit hoe ze de nieuwste inbraakpogingen herkennen. En wat ze ertegen kunnen doen.

Het beleid van ASML past in een bredere trend. Grotere ondernemingen investeerden de afgelopen jaren fors in hun eigen beveiliging. Zo heeft ASML het budget voor cybersecurity sinds 2015 verachtvoudigd. Die uitgavenspiraal is een reactie op de toenemende activiteit van criminelen. Hackers en spionnen uit met name China en Rusland proberen de Nederlandse hightechindustrie binnen te dringen, zo waarschuwen de veiligheidsdiensten.

Maar ook al is de eigen verdedigingslinie opgewassen tegen een directe aanval, indirect blijven grote bedrijven kwetsbaar. Bijvoorbeeld door een digitale inbraak bij een leverancier. Via koppelingen van systemen kunnen hackers alsnog binnenkomen. Zelfs bij compleet gescheiden IT-systemen kunnen de gevolgen groot zijn.

Daarom eisen bedrijven zoals ASML uitgebreide informatie van hun leveranciers over de interne IT-beveiliging. Wie niet het gewenste niveau van beveiliging kan bieden, kan het contract verliezen. Tegelijkertijd proberen de grote ondernemingen hun leveranciers te helpen.

Luxepositie
‘Niet elk bedrijf heeft de middelen om zelf zijn beveiliging op hoog niveau te houden’, verklaart Aernout Reijmer, hoofd security bij ASML. ‘Wij zitten in de luxepositie dat we bedrijven in ons regionale netwerk kunnen helpen.’

De Brabantse fabrikant van chipmachines, die door een groot deel van de wereld worden gebruikt, heeft ruim tweehonderd mensen op cyberveiligheid zitten. ASML werd al eens slachtoffer van een computerinbraak — volgens het bedrijf werd ‘niets van waarde’ gestolen — en ook de andere Nederlandse techgigant Philips kreeg hackers over de vloer. Een wake-upcall, noemde Philips-topman Hans de Jong dit recent tegenover het FD.

Groot netwerk
‘Het is geen geheim dat leveranciers in ons netwerk ook slachtoffer zijn van aanvallen’, zegt Reijmer. ‘Dit voorjaar valt het mee, maar herfst vorig jaar was het elke week raak. Dat gold voor de hele wereld.’

Bij veel bedrijven en universiteiten is de bescherming tegen hackers onvoldoende. Justitie en de geheime diensten waarschuwen nadrukkelijk voor de gevolgen. Directeur Erik Akerboom van de inlichtingendienst AIVD spreekt van ‘aantasting van het Nederlandse verdienvermogen’. Een van manieren om de hackers vóór te blijven, is een snelle verspreiding van nieuwe informatie over hun methodes.

Daarom zijn veel bedrijven gefrustreerd over het gebrek aan informatie van de overheid. Het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie en Veiligheid krijgt weliswaar meldingen binnen over computerinbraken. Maar dit wordt hoofdzakelijk gedeeld met organisaties die tot de zogeheten ‘kritische infrastructuur’ behoren, zoals banken, water- en telecombedrijven. Tegelijk vinden bedrijven het riskant om informatie te geven over inbraakpogingen.

Er zijn wel plannen voor betere en veiliger informatiedeling. Zoals het Secure Net, dat het NCSC heeft ontwikkeld met de Nederlandse start-up Roseman Labs. Via dit netwerk, dat nieuwe cryptografie gebruikt, wordt informatie uitgewisseld met bedrijven buiten de kritische infrastructuur, zoals dienstverleners in de cybersecurity. Maar vooralsnog gebeurt er weinig.

Circle of trust
ASML creëert daarom samen met partners zijn eigen ‘circle of trust’: een kring van bedrijven die vertrouwelijke informatie met elkaar delen, en elkaar helpen om aanvallers te weren. Deels is dat ontwikkelingshulp voor de minderbedeelden, en deels keihard eigenbelang. Want stel dat de leverancier van een vitaal machineonderdeel wordt platgelegd door gijzelsoftware. Dan kan de productie bij ASML zelf in gevaar komen. Daarom laat het bedrijf geen ruimte voor verslapping. Wie de digitale veiligheid niet op het gewenste niveau brengt, krijgt geen contract meer. ‘In onze leverancierscontracten staan clausules over het niveau van beveiliging dat we verlangen’, zegt Reijmer van ASML.

Andere waarschuwingssystemen
Er zijn meer netwerken die informatie over cyberveiligheid met elkaar delen. Zo is er het Dutch Institute for Vulnerability Disclosure (DIVD). Vrijwilligers binnen dit netwerk – doorgaans trouwens mensen die zich ook onder werktijd met cyberveiligheid bezighouden – speuren het internet af op kwetsbaarheden. Vinden ze een lekke of gehackte server, dan sturen ze de eigenaar een mailtje, of dat nu een bedrijf in de vitale sector is of een particulier. Op die manier werden enkele maanden geleden bijvoorbeeld duizenden eigenaren met een kwetsbare mailserver geïnformeerd. Ook de Nederlandse Beheersorganisatie Internet Providers, met allerlei internetproviders als lid, is van plan om informatie met elkaar te gaan delen. De providers willen daarin ook de informatie die het Nationaal Cyber Security Center (NCSC) van het ministerie van Justitie en Veiligheid binnenkrijgt gaan gebruiken. De speciale juridische status die daarvoor nodig is, hebben de providers vorig jaar al gekregen. Toch blijven meldingen vooralsnog uit. Justitie blijkt veel tijd nodig te hebben om meldingen ook daadwerkelijk door te geven.
Experts zien de initiatieven van ASML wel zitten. ‘Het is mooi dat de markt zelf het voortouw neemt bij cyberveiligheid. Maar ik ben ook wel verrast dat de overheid haar rol niet pakt’, zegt Petra Oldengarm van Cyberveilig Nederland, de koepel voor IT-beveiligingsbedrijven. Zij vreest voor ‘wildgroei’ en ‘individuele bedrijven die allemaal zelf het wiel gaan uitvinden’.

Volgens Oldengarm ontbreekt nu de regie: ‘De overheid telt heel veel kleine eilandjes die allemaal verantwoordelijk zijn voor veiligheid. Het ene ministerie deelt gevoelige informatie over dreigingen niet met het andere.’ NCSC (Justitie) mag op dit moment bijvoorbeeld cruciale info niet doorspelen aan het Digital Trust Center (EZK), terwijl het DTC er juist hoort te zijn voor de niet-vitale sectoren. Bovendien hebben veel bedrijven nog nooit gehoord van dit adviescentrum. ‘Nederland zou één deltacommissaris voor cybersecurity moeten aanstellen’, zegt Oldengarm. ‘Maar dan wel één met geld en een mandaat. Want al die kleine eilandjes binnen de overheid zijn bang om hun invloed te verliezen. Die zullen hier niet zomaar aan meewerken.’

Lees het volledige artikel: https://fd.nl/ondernemen/1383893/asml-geeft-zijn-leveranciers-bijles-over-het-weren-van-hackers-ise1caZLYQQj