ASML legt cyberweerbaarheidlat hoog, maar ondersteunt toeleveranciers ook

0

Cyberweerbaarheid- en veiligheid zijn cruciaal voor ASML. ‘We willen over de allerbeste kennis en inzichten beschikken om waar nodig direct te kunnen acteren’, zegt Aernout Reijmer, senior director security bij ASML. Ook de toeleveranciers moeten hun zaakjes op orde hebben. ASML stelt de nodige eisen en helpt ketenpartijen tegelijkertijd om op een steeds hoger niveau te komen. Het cyberbewustzijn in de keten is duidelijk toegenomen, ziet de semicongigant, en deze trend moet doorzetten.

Geen supplier komt meer weg bij zijn klanten met een laag securityniveau

– ‘We willen over de allerbeste kennis en inzichten beschikken om waar nodig direct te kunnen acteren’

– ‘Wij kennen op onze beurt de industrie en weten daarom beter waar de specifieke behoeftes liggen. We vullen elkaar aan.’

– ‘We kijken nauwgezet welke ketenpartijen van significant belang zijn voor onze business. Die toeleveranciers helpen we actief met hun beveiliging.’

– Zaken waarmee iedereen worstelt, kan ASML bijvoorbeeld in masterclasses voor suppliers verwerken.

Sam Nijskens, external security specialist bij ASML: ‘Wij hebben ook niet alle wijsheid in pacht. We blijven leren en dat gebeurt ook van kleinere partijen in het ingewikkelde ecosysteem.’

Twee en een half jaar geleden richtte ASML samen met ABN-AMRO, Ahold Delhaize, AkzoNobel, ING, KPN, NS, Philips, Rabobank en Shell de stichting NL CISO Circle of Trust (CCoT) op. CISO verwijst naar hun chief information security officers. Het was de formalisering van een al veel langer bestaande samenwerking tussen tien grote Nederlandse bedrijven met hun stevige security-afdelingen. ASML bijvoorbeeld telt nu zo’n 250 medewerkers die zich er specifiek mee bezig houden. Doel van NL CCoT: zichzelf beter beschermen tegen cyberaanvallen en -dreigingen, en tegelijkertijd Nederland veiliger maken door bij te dragen aan de cyberweerbaarheid van in Nederland gevestigde bedrijven. De bedrijven werken nauw samen met het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Justitie & Veiligheid en het Digital Trust Center (DTC) van het ministerie van Economische Zaken.

Zeer complexe materie

Aernout Reijmer, senior director security bij ASML, spoelt even terug naar twintig jaar geleden. ‘Vanaf die tijd begon het aantal cyberaanvallen sterk toe te nemen. De risico’s werden steeds serieuzer. Veel bedrijven begonnen hun IT-beveiliging aan te scherpen, met de banken, telecom- en internetbedrijven voorop. Bovendien zagen bedrijven in dat ze niet alles in hun eentje konden oppakken: samenwerking loont om valkuilen ruim van tevoren te omzeilen en essentiële kennis en tips uit te wisselen. En grote ondernemingen mogen hun ciso’s hebben: niet alle kennisuitwisseling moet en kan via hen gaan.’

‘We willen een vooraanstaande rol spelen om ons eigen ecosysteem cyberweerbaarder te maken’

Dat was het beginpunt van de Nederlandse CISO Circle of Trust. Ciso’s sturen hun mensen aan en orkestreren. De vele experts op deelonderwerpen in de organisaties staan eveneens met elkaar in verbinding en wisselen in alle openheid en vertrouwen kennis en ervaringen uit. Het gaat daarbij om ‘academische’, niet-bedrijfsspecifieke informatie die wel relevant is voor anderen. Reijmer noemt cybersecurity een complex en veranderlijk terrein. ‘Wat we drie jaar geleden misschien nog niet zo risicovol vonden, daarvan kunnen we nu denken: “Hoe hebben we dat ooit kunnen toestaan?”’

Internationaal netwerk voor de semicon

De tien ondernemingen uit de begintijd vormen nog steeds de kerngroep, met daaromheen inmiddels werkgroepen en kennisdelingssessies waarbij nu tientallen andere (mkb-)-bedrijven betrokken zijn. ASML speelt een belangrijke rol in de NL CCoT, en maakt deel uit van een soortgelijk internationaal netwerk, specifiek gericht op de semicon-industrie. Ze wisselen kennis uit, analyseren incidenten en delen samen threat intelligence en inzichten in kwetsbaarheden. Zo weten ze dreigingen sneller dan ooit te herkennen en er gericht op te reageren. Reijmer: ‘Wat je wilt, is een netwerk van netwerken, waarbinnen zo veel mogelijk relevante kennis en informatie zo snel mogelijk wordt gedeeld.’

Dan gaat het vanzelfsprekend om actuele dreigingsinformatie, aldus Reijmer. Zijn er ergens concrete aanvallen gesignaleerd waarbij cybercriminelen op een slimme en nieuwe manier gebruik maken van nieuw ontdekte kwetsbaarheden? Hoe gaan cybercriminelen op de dag van vandaag te werk? Maar het gaat ook om het implementeren van technologieën die de bedrijven op de langere termijn weerbaarder maken tegen phishingaanvallen, ransomware, malicious generative AI en het post-quantum moment. En als er een impact is, wat doe je dan? Dat zijn allemaal vragen die complexe oplossingen vergen die langer duren om te implementeren.

Mix van groot en klein

Natuurlijk zijn het NCSC en het DTC belangrijke bronnen van informatie voor het Nederlandse bedrijfsleven. ‘Maar wij kennen op onze beurt de industrie en weten daarom beter waar de specifieke behoeftes liggen. We vullen elkaar aan’, zegt Sam Nijskens, external security specialist bij ASML.

Brainport heeft ook al jaren zijn eigen Cyber Weerbaarheidscentrum (CWB), ter ondersteuning van de hightech en maakindustrie. Daarnaast is er ook een eigen ‘CISO Circle of trust’: de publiek-private Eindhoven Cyber Security Groep. De NL CCoT bestaat uit multinationals met grote, volwassen security departments. Het Eindhovense netwerk is meer mix van grootbedrijf en mkb. ‘We willen een vooraanstaande rol spelen om ons eigen ecosysteem cyberweerbaarder te maken’, aldus Reijmer. Sam Nijskens vult aan: ‘En omgekeerd, ASML heeft ook niet alle wijsheid in pacht. Wij blijven leren en dat gebeurt ook van kleinere partijen in het ingewikkelde ecosysteem.’

Securityclausules

Dat ecosysteem van ASML bestaat uit duizenden toeleveranciers, waaronder zeer strategische en kritieke. Zo’n 85 procent van de componenten en modules in de lithografiemachines van ASML komt van suppliers. ‘Dus moeten we heel goed zijn in supplychainmanagement, en risicomanagement is een integraal onderdeel van dat succesmanagement’, zegt Reijmer. ‘We kijken nauwgezet welke ketenpartijen van significant belang zijn voor onze business. Die toeleveranciers helpen we actief met hun beveiliging. Maar we wijzen ze er ook op dat we samen in een heel mooie waardeketen zitten. We creëren waarde en delen in de winsten die daaruit voortkomen. Dat betekent dat partijen ook zelf hun verantwoordelijkheid moeten nemen en hun risico’s moeten managen.’

ASML legt zaken contractueel vast in securityclausules, documenten van al snel dertig of meer pagina’s. Daarnaast heeft ASML mede het CYRA-model ontwikkeld, een online zelfbeoordelingsinstrument dat bedrijven helpt hun informatiebeveiliging in kaart te brengen en te verbeteren. Het model kent vier programma’s – Entry, Basic, Intermediate en Advanced – elk met drie niveaus van volwassenheid. Daarnaast bestaat de mogelijkheid om deze beoordeling door een externe auditor te laten valideren. Is alles goed op orde, is er werk aan de winkel, zit er vooruitgang in? Het CYRA-model is samen met Cyber Weerbaarheidscentrum Brainport en TÜV ontwikkeld.

Geaccepteerde standaard

Nijskens: ‘Als gouden maatstaf in de informatiebeveiliging geldt vaak de ISO 27001-certificering, maar dat is voor mkb’ers met gelimiteerde resources niet altijd haalbaar. Ze willen vaak wel, maar het is lastig om inzicht te krijgen waar dan te beginnen. CYRA kan hierin een uitkomst bieden. Het is dankzij de opdeling in niveaus met ieder een eigen hoeveelheid controls beter behapbaar. CYRA kan functioneren als roadmap, waarbij het hoogste niveau kan worden gebruikt als opstap om ISO 27001 gecertificeerd te raken. Bovendien kan een CYRA-certificering bedrijven helpen bij toekomstige regelgeving, zoals de NIS2-richtlijn, die striktere eisen stelt aan informatiebeveiliging.’

Het CYRA-model is medeontwikkeld door een aantal van de leden van de NL CISO Circle of Trust, nadat de ciso’s en hun experts er hun licht op hadden doen schijnen. Reijmer: ‘We willen dat het een geaccepteerde standaard in Nederland wordt. Daarom wordt het nu ook ondergebracht bij het CCV, het Centrum voor Criminaliteitspreventie en Veiligheid.’

Aan tafel zitten: Aaike van Vugt VSParticle, Dennis Schipper Demcon, Marc Uleman Prodrive Technologies en Angelique van der Burg Infineon. Met speciale bijdrages van ING-hoofdeconoom Marieke Blom, OU-professor en arbeidsmarktexpert Annet de Lange. Dat alles onder leiding van Marinke Wijngaard en Marja Eijkman. Start van de bijeenkomst: 15:30 uur in Boerderij Mereveld, onder de rook van Utrecht. Aanmelden en informatie

Aandachtspunten

Het supplychainmanagement van ASML gaat zeer regelmatig het gesprek aan met de toeleveranciers over risico’s en beveiliging. Aandachtspunten duiken vervolgens op in de roadmaps van die suppliers, zien Reijmer en Nijskens met genoegen. Ofwel: er wordt werk van gemaakt. En zaken waarmee iedereen worstelt, kan ASML bijvoorbeeld in masterclasses voor suppliers verwerken. Sam Nijskens geeft regelmatig masterclasses. ‘Met veel toeleveranciers hebben we een nauwe samenwerking en vertrouwelijke relatie. “Laten we samen kijken hoe het beter kan in plaats van de zoveelste questionnaire met net iets andere vragen op jullie af te vuren”, is het idee. Natuurlijk zijn ze zelf in control, maar wij kunnen ze helpen door de kennis te delen die wij al in huis hebben. Zo kunnen we eraan bijdragen dat ze dat extra stapje wat sneller kunnen zetten.’

De masterclasses zijn vooral bedoeld voor de directe first tier suppliers. Maar er wordt ook regelmatig materiaal gedeeld met het Cyber Weerbaarheidscentrum Brainport, zodat ook andere bedrijven beschikking hebben over het materiaal. Nijskens: ‘En heel leuk om te zien: sommige toeleveranciers organiseren zelf masterclasses voor hun toeleveranciers. Zij voelen zich net zo goed verantwoordelijk. We dragen sterk uit dat we wederzijds afhankelijk zijn van elkaar.’

Van kelder tot boardroom

De aandacht voor cybersecurity is überhaupt sterk toegenomen, alleen al door alle ingrijpende incidenten wereldwijd, constateert Reijmer. ‘Ik heb het zien groeien van een onderwerp dat letterlijk in de kelders van het gebouw was weggestopt bij een IT-securitydeskundige. Tot iets dat in de boardrooms uitgebreid op de agenda staat. Riskmanagement is een wezenlijk onderdeel van je succesmanagement.’ Met een laag securityniveau komt niemand meer weg bij zijn klanten. Het is een relevant selectiecriterium geworden om toeleverancier te kunnen worden.

Voor concrete voorbeelden van wat er afgelopen jaren bij suppliers wellicht is misgegaan of volstrekt niet goed geregeld was, hoef je bij Reijmer en Nijskens niet aan te kloppen. Met het openbaren van dat soort anekdotes schiet je niks op. Nijskens: ‘Het mooie is juist dat een leverancier door het opgebouwde vertrouwen rustig naar mij toe kan komen en zeggen: “Ik heb hier grote moeite mee, kunnen wij er eens een sessie aan spenderen.” Natuurlijk wil ASML dat, want samen staan we sterk.’

Share.

Reageer

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Verified by ExactMetrics