Je kunt je eigen systemen en IT-omgeving nog zo goed beveiligen, en toch kan één kwetsbare leverancier of partner de achterdeur wagenwijd openzetten. De meeste organisaties zijn ondertussen wel op de hoogte van de risico’s maar vergeten dat hun digitale keten inmiddels tientallen externe partijen bevat. En precies bij deze partijen liggen er vaak mogelijkheden voor aanvallers.
In deze blog leggen we uit hoe de zwakke schakels binnen je keten worden uitgebuit, wat jij van je leveranciers mag vragen en welke praktische stappen helpen bij het structureel verkleinen van de risico’s.
De keten als doelwit
Supply chain aanvallen zijn niet nieuw, maar wel sterk in opkomst. In plaats van een directe aanval uit te voeren, richten cybercriminelen zich op ketenpartners die jou toegang verschaffen tot updates, data of beheerrechten. Er zijn verschillende manieren waarop aanvallers dit doen en één daarvan is het verstoppen van kwaadaardige code in software updates die er legitiem uitzien. Een andere vaak geziene valkuil is het toekennen van te veel rechten of toegang voor leveranciers zonder dat dit noodzakelijk is. Wanneer zij vervolgens gehackt worden, kan de aanvaller direct toegang krijgen tot je omgeving.
Het gevaar zit hem voornamelijk in de zichtbaarheid. Zelfs wanneer je eigen omgeving zorgvuldig gemonitord wordt door een SOC, is er een deel wat zich buiten het zicht afspeelt. Wat er bij de leverancier gebeurt, in hun netwerken of updateprocessen, is vaak een blinde vlek. Wanneer een leverancier wordt gehackt, komen verdachte acties pas aan het licht zodra ze effect hebben op jouw systemen en tegen die tijd is het kwaad vaak al geschied.
Aanvallers weten dit en zoeken daarom bewust naar zwakke schakels in de keten zoals een slecht beveiligd beheeraccount, een besmette software update of een cloud integratie met te veel rechten. Vanuit dat ene toegangspunt kunnen ze zich razendsnel verspreiden naar tientallen (of zelfs honderden) organisaties die met dezelfde leverancier verbonden zijn.
Wat je van je leveranciers en partners mag verwachten
In een van onze LinkedIn posts deelden we een vijftal belangrijke vragen die je aan je leveranciers zou moeten vragen (klik hier om ze te lezen). De tijd dat je er simpelweg op kon vertrouwen dat het wel goed zat, is voorbij. Leveranciers moeten aan hun ketenpartners kunnen aantonen dat ze de nodige aandacht besteden aan hun cybersecurity, deze ook onderhouden en hierover rapporteren.
Een sterk supply chain beleid combineert techniek, processen en contractuele afspraken. Breng in kaart met wie je eigenlijk zakendoet en welke risico’s daaraan verbonden zijn. Hierbij kun je je leveranciers classificeren op basis van:
- Impact: welke data of systemen raken ze bij een incident?
- Toegang: hebben ze beheerrechten of alleen een ondersteunende rol?
- Vervangbaarheid: kun je snel overstappen in geval van een probleem?
Deze classificering helpt je vervolgens om je leveranciers in verschillende categorieën onder te verdelen, zoals kritiek, hoog, middel en laag. Aan de hand van deze categorieën kun je verder afstemmen welke risico’s je onder de loep moet nemen.
Voor kritieke leveranciers is het verstandig om in ieder geval te vragen naar:
- Een recent auditrapport (ISO 27001)
- SBOM (inventaris van software) of beveiligingsverklaring
- Patch SLA’s
- Incidentrespons procedure
Daarnaast zijn er ook technische maatregelen die je kunt treffen of afdwingen via je eigen identity-platform of endpoint management oplossing. Denk hierbij aan toegangsbeheer, een aparte leveranciersomgeving, maar ook het uitvoeren van automatische updates.
Tot slot willen we nog benadrukken hoe belangrijk het is om expliciete bepalingen contractueel vast te leggen. Wat niet zwart op wit staat, is moeilijk af te dwingen.
Een werkbaar stappenplan voor IT-managers
Hoe maak je supply chain security beheersbaar zonder het proces te verlammen? Door onderstaande stappen te volgen, zorg je voor een overzichtelijke en gestructureerde aanpak.
- Maak een overzicht van alle partijen met netwerk- of datatoegang
- Vraag basisinformatie op zoals certificeringen, SBOM en contactpersonen
- Implementeer technische maatregelen zoals MFA, beperk rechten en stel logging verplicht
- Leg security vereisten contractueel vast
- Plan periodieke reviews
Blijf kritisch en alert
Wanneer alle bovenstaande vragen zijn beantwoord en stappen zijn uitgevoerd, ben je op de goede weg naar een solide supply chain securitybeleid. Echter is het belangrijk om te onthouden dat het risico nooit helemaal vermeden kan worden. Daarom is het essentieel om altijd kritisch en alert te blijven.
Conclusie
Security zou geen vrijblijvendheid maar een integraal onderdeel van de samenwerking moeten zijn. Daarnaast vraagt het om samenwerking, transparantie en discipline. Wie op tijd inzet op een sterk supply chain securitybeleid voorkomt dat de volgende aanval via de achterdeur naar binnenkomt.
© 2023 Masero 
