Bedrijven zijn verantwoordelijk voor hun eigen cybersecurity. Maar zelfs als die op orde is, kunnen ze gevaar lopen wanneer ze samenwerken met derde partijen die hun beveiliging minder goed geregeld hebben. De recente software-update van CrowdStrike heeft pijnlijk duidelijk gemaakt hoe afhankelijk organisaties kunnen zijn van derde partijen voor hun functioneren. Jelle Groenendaal, medeoprichter van 3rdRisk, helpt organisaties meer inzicht en grip te krijgen op het risico van derde partijen.
Door Menno Jelgersma / Beeld Shutterstock
3rdRisk biedt bedrijven via een cloudplatform de mogelijkheid om hun derde partijen te checken en te monitoren op verschillende risico’s, zoals cybersecurity, duurzaamheid en compliance. Medeoprichter Jelle Groenendaal promoveerde vijftien jaar geleden bij de faculteit bedrijfswetenschappen aan de Radboud Universiteit Nijmegen op een proefschrift over risico- en crisismanagement. Tijdens zijn promotieonderzoek was hij werkzaam bij Crisislab, de onderzoeksgroep rond de leerstoel Besturen van Veiligheid aan de Radboud Universiteit. Na zijn promotie ging hij aan de slag bij Deloitte Nederland en aansluitend bij ING Bank binnen het cybersecuritydomein.
In 2022 zegde hij zijn baan op om zich volledig te kunnen richten op 3rdRisk. “We zagen een groeiende behoefte in de markt aan slimme, gebruiksvriendelijke technologie. Veel organisaties werkten op dat moment nog met spreadsheets. Het probleem van een spreadsheetaanpak is dat het niet schaalt, foutgevoelig en gebruiksonvriendelijk is.
Organisaties werken vandaag de dag met honderden zo niet duizenden derde partijen. Het is ondoenlijk om dat met spreadsheets te doen. Bovendien is het belangrijk dat je derde partijen ook voortdurend monitort. Daarvoor zijn spreadsheets al helemaal niet geschikt.”
> LEES OOK: Voorkom supply chain-aanvallen door de keteninventarisatie
Risico’s ontdekken en beheersen
3rdRisk is hard op weg om binnen Europa het toonaangevende cloudplatform voor derdepartijenrisicobeheersing te worden. Om het contact te houden met de wetenschap en de ontwikkelingen in de sector is Groenendaal ook nog steeds verbonden aan de onderzoeksgroep van Ira Helsloot, hoogleraar Besturen van Veiligheid aan de Radboud Universiteit Nijmegen. De kennis die hij daar opdoet neemt hij mee terug het bedrijf in, bijvoorbeeld bij de ontwikkeling van nieuwe modules en functionaliteiten van het platform. Belangrijk uitgangspunt daarbij is om zoveel mogelijk simpele en terugkerende werkzaamheden te automatiseren, zodat risk- en compliance-professionals zich zoveel mogelijk op het echte, betekenisvolle werk kunnen concentreren.
Groenendaal: “In veel organisaties zijn security-, risk- of compliance-teams klein en overbevraagd. Er is daarom grote behoefte aan gebruiksvriendelijke technologie die veel werk uit handen neemt, inzichten biedt en helpt om risico’s effectief aan te pakken. Niet alleen cyberrisico’s, maar ook bijvoorbeeld op het gebied van duurzaamheid. Denk hierbij aan het tegengaan van mensenrechtenschendingen en milieuvervuiling binnen de toeleveringsketen. Of het beperken van continuïteitsrisico’s.”
> LEES OOK: Nederlandse bedrijven vatbaar voor datalekken door gebrekkige compliance
Als voorbeeld geeft Groenendaal de problemen rond Crowd Strike, het Texaanse softwarebedrijf dat onder andere een virusscanner levert en in ruim twaalf jaar is uitgegroeid tot een bedrijf met een marktwaarde van 80 miljard dollar. Tot het fout ging en een configuratie-update wereldwijd meer dan 8,5 miljoen pc’s en servers platlegde. Het gevolg was dat delen van de kritieke infrastructuur, waaronder die van luchthavens, wereldwijd werden platgelegd. “De casus CrowdStrike laat zien welke impact het kan hebben wanneer een derde partij in de problemen komt.”
Kaashack
Als ander voorbeeld noemt Groenendaal de zogeheten kaashack. “Een aantal jaar geleden werd de operatie van een grote distributeur van kaas platgelegd door ransomware. Het gevolg was dat er wekenlang geen kaas in de supermarkten lag. Dit was voor veel retailers een wake-up- call. Die zagen in dat leveringsproblemen bij een derde partij grote financiële gevolgen voor hen kunnen hebben. Daarom stellen veel bedrijven tegenwoordig eisen aan de securitymaatregelen van hun derde partijen.”
Het 3rdRisk-platform helpt bedrijven om op efficiënte wijze uit te vragen of hun derde partijen aan bepaalde minimum securityvereisten voldoen. Daarbij gebruikt het platform AI om bewijsstukken zoals beleidsplannen en testrapporten geautomatiseerd te reviewen. “Het platform doet de eerste analyse van de ingevulde vragenlijst en de bijgeleverde bewijsstukken, vervolgens hoeft de riskprofessional alleen nog te checken of het klopt. Dit scheelt heel veel tijd. We zijn nu ook bezig om te zorgen dat de derde partij door middel van ons platform veel slimmer en sneller inkomende vragenlijsten kan invullen. Want ook daar valt veel winst te behalen.”
Het beheersen van derdepartijenrisico’s wordt steeds belangrijker
Aangescherpte wetgeving
“Het beheersen van derdepartijenrisico’s wordt voor bedrijven steeds belangrijker, omdat de wetgeving verandert.” Zo geeft de Network and Information Security Directive, of NIS2-richtlijn, aan dat je verplicht bent om je supply-chain te beveiligen.”
Verder is er de DORA, de Digital Operational Resilience Act. Dit is een EU-verordening die op 16 januari 2023 in werking is getreden en vanaf 17 januari 2025 van toepassing zal zijn. “Deze verordening is van toepassing op de financiële sector en heeft tot doel om de IT-beveiliging van financiële entiteiten zoals banken, verzekeringsmaatschap- pijen en beleggingsondernemingen te versterken en om maatregelen te nemen om derde partijen te beoordelen en te monitoren.” De DORA zorgt er ook voor dat de financiële sector in Europa veerkrachtig kan blijven in het geval van een ernstige operationele verstoring.
> LEES OOK: Hoe gaat Europese wetgeving de cyberdreiging tegen?
Duurzaamheid
Een andere richtlijn die in januari 2023 in werking getreden is, is de Corporate Sustainability Reporting Directive (CSRD). Deze moderniseert en versterkt de regels met betrekking tot de sociale en milieu-informatie die bedrijven moeten rapporteren. Een bredere groep grote bedrijven en beursgenoteerde kleine en middelgrote ondernemingen zal nu verplicht zijn om te rapporteren over duurzaamheid. Ook is er nog lokale wetgeving die te maken heeft met duurzaamheid, om te voorkomen dat een derde partij bijvoorbeeld gebruikmaakt van kinderarbeid of een te hoge CO2-uitstoot heeft.
Hoe gaat dat dan precies in zijn werk? “Via ons platform kunnen bedrijven vragenlijsten op het gebied van cyber, duurzaamheid of compliance uitsturen. Derde partijen vullen deze vragenlijsten in. Deze vragenlijst, in combinatie met verschillende externe databronnen, geeft vervolgens een beeld van de risico’s. Ons platform helpt vervolgens bij het registreren, analyseren en concreet aanpakken van het risico.”
Groenendaal legt uit dat het platform onafhankelijk van een sector is te gebruiken, omdat het proces voor elk bedrijf hetzelfde is. “De basis blijft: met wie doe je zaken, hoe belangrijk is de derde partij waarmee je zaken doet en waar zitten de grootste risico’s?” Daarnaast monitort het platform de derde partijen in open en gesloten bronnen. “Mocht de naam van een derde partij ineens opduiken in een negatief artikel in een buitenlandse krant, dan krijg je hiervan direct een melding.”
360 graden-blik
Wat 3rdRisk volgens Groenendaal uniek maakt, is dat zij een compleet beeld kunnen leveren van een derde partij, of het nu gaat om security, duurzaamheid, compliance en continuïteit. “Wij zorgen ervoor dat je een 360 graden-blik hebt op je derde partijen. Dit geeft bijvoorbeeld voor inkoopafdelingen een veel beter beeld van de derde partij en of je met zo’n partij wilt blijven zakendoen.”
Op dit moment werken er elf mensen bij 3rdRisk, dat kantoor houdt in Amsterdam. “Het gaat heel goed. We hebben klanten in Nederland, België, Spanje, de VS, het Verenigd Koninkrijk en Duitsland.” Hoe staat 3rdRisk er over vijf jaar voor? Groenendaal heeft grote ambities. “We willen het dominante Europese platform voor de beheersing van derdepartijenrisico’s worden.”
3rdRisk-platform
3rdRisk is een Nederlandse scale-up die gespecialiseerd is in het ontwikkelen van software voor het beheersen van interne risico’s en derdepartijenrisico’s. Het cloudplatform stelt organisaties in staat om op effectieve wijze een breed spectrum aan risico’s te identificeren, te beoordelen en te beperken, van cybersecurity en duurzaamheid tot continuïteit en compliance. Het platform is gebruiksvriendelijk, eenvoudig te implementeren en flexibel. Het maakt gebruik van AI om routinetaken te automatiseren en past gamification toe om de betrokkenheid van medewerkers en leveranciers te vergroten.
Het platform wordt gebruikt door bekende merken als Jumbo, ING, Deloitte, HEMA en PostNL. 3rdRisk werkt wereldwijd samen met gerenommeerde partners, waaronder Deloitte, NTT DATA, Protivitien Eraneos. Deze partners leveren content voor het platform zoals vragenlijsten en raamwerken. Daarnaast helpen zij organisaties met de implementatie van het platform. Ook kunnen zij organisaties volledig ontzorgen door alle werkzaamheden, ondersteund door 3rdRisk-technologie, over te nemen.
Volg Security Management op LinkedIn