Beveiligingsrisico's voor derde partijen zijn de potentiële bedreigingen die voortvloeien uit de interacties tussen een mkb-onderneming en zijn externe verkopers of leveranciers. Deze bedreigingen kunnen bestaan uit:

• Datalekken: Een derde partij kan de vertrouwelijkheid, integriteit of beschikbaarheid van de gegevens van de onderneming in gevaar brengen door ze verkeerd te behandelen, te verliezen of uit te lekken naar onbevoegden. Een aanbieder van clouddiensten kan bijvoorbeeld getroffen worden door een cyberaanval die de klantgegevens of intellectuele eigendom van de mkb-onderneming blootlegt.
• Storingen in de dienstverlening: Een derde partij kan door technische problemen, menselijke fouten of kwaadaardige acties niet het verwachte serviceniveau leveren. Een betalingsverwerker kan bijvoorbeeld downtime ondervinden waardoor de onderneming geen onlinetransacties kan accepteren.
• Compliance schendingen: Een derde partij houdt zich mogelijk niet aan de relevante wet- en regelgeving die van toepassing is op de sector of het rechtsgebied van de mkb-onderneming. Een gegevensverwerker kan bijvoorbeeld niet voldoen aan de AVG die adequate waarborgen vereist voor de overdracht van persoonsgegevens.
• Reputatieschade: Een derde partij kan het imago of de betrouwbaarheid van de onderneming aantasten door onethische of frauduleuze activiteiten te ontplooien. Een leverancier kan bijvoorbeeld nagemaakte of ondermaatse materialen gebruiken die de kwaliteit van de producten van de onderneming aantasten.

De veiligheidsrisico's voor derden nemen om verschillende redenen toe:

• Volume: Naarmate mkb-bedrijven meer van hun bedrijfsfuncties uitbesteden om de kosten te verlagen en de efficiëntie te verhogen, verhogen ze ook hun blootstelling aan meer derden en de bijbehorende risico's.
• Complexiteit: Naarmate het mkb meer geavanceerde technologieën en digitale oplossingen van derden overneemt, worden ze ook geconfronteerd met meer uitdagingen om deze effectief te begrijpen en te beheren.
• Controle: Naarmate regelgevers en klanten zich meer bewust worden van en hogere eisen stellen aan normen en praktijken op het gebied van cyberbeveiliging, oefenen zij ook meer druk en sancties uit op mkb-ondernemingen voor eventuele tekortkomingen of inbreuken waarbij derden betrokken zijn.
• Repercussies: Naarmate cyberaanvallen geraffineerder en algemener worden, veroorzaken ze ook meer schade en ontwrichting voor het mkb en zijn stakeholders.

Het mkb kan beveiligingsrisico's voor derden beperken door een proactieve en holistische aanpak te hanteren, die bestaat uit:

• Beoordeling: MKB-bedrijven moeten al hun bestaande en potentiële derden identificeren en evalueren op basis van hun kriticiteit, omvang van de dienstverlening en mate van toegang tot gevoelige gegevens of systemen. Zij moeten ook een lijst opstellen van minimale cyberbeveiligingseisen en -verplichtingen waaraan verkopers en leveranciers moeten voldoen om met hen samen te werken.
• Monitoring: MKB-bedrijven moeten service level agreements (SLA's) opstellen met elke belangrijke derde partij waarin de verwachtingen, verantwoordelijkheden, metrieken en remedies voor beide partijen duidelijk zijn vastgelegd. Ze moeten ook regelmatig evaluaties en audits uitvoeren met hun derde partijen om de naleving en prestaties te garanderen.
• Reactie: MKB-bedrijven moeten noodplannen opstellen voor het omgaan met incidenten of problemen waarbij hun derde partijen betrokken zijn. Ze moeten ook effectief communiceren met hun interne teams, externe partners en klanten over eventuele gevolgen of oplossingen.
• Beëindiging: MKB-bedrijven moeten duidelijke processen hebben voor het beëindigen van hun relaties met hun derde partijen als dat nodig is. Ze moeten er ook voor zorgen dat alle gevoelige gegevens waartoe de derde partij toegang heeft gehad, veilig worden vernietigd of teruggegeven.

Beveiligingsrisico's van derden zijn een strategisch toprisico voor het mkb in 2023 naarmate ze voor diverse diensten meer afhankelijk zijn van externe aanbieders. Door effectieve maatregelen te implementeren om te beoordelen, hun relaties met derden te bewaken, te reageren en te beëindigen, kunnen mkb-bedrijven hun kwetsbaarheid verminderen en hun weerbaarheid tegen cyberdreigingen vergroten.

Referenties:

https://www.deloitte.com/global/en/services/risk-advisory/perspectives/third-party-risk.html https://www.enisa.europa.eu/securesme/cyber-tips/protect-employees/third-party-management https://www.forbes.com/sites/forbestechcouncil/2021/02/11/understanding-the-third-party-im