Zakelijke beveiliging

Het is niet duurzaam om uw partners en leveranciers blindelings te vertrouwen op hun veiligheidspositie. Het is tijd om de controle over te nemen door middel van effectief leveranciersrisicobeheer

Phil Muncaster

Januari 25 2024
 • 
,
5 minuut. lezen

De wereld is gebouwd op toeleveringsketens. Zij zijn het bindweefsel dat de wereldhandel en welvaart mogelijk maakt. Maar deze netwerken van overlappende en onderling verbonden bedrijven worden steeds complexer en ondoorzichtiger. De meeste hebben betrekking op de levering van software en digitale diensten, of zijn in ieder geval op de een of andere manier afhankelijk van online-interacties. Dat brengt hen in gevaar door verstoring en compromissen.

Met name het MKB is mogelijk niet proactief op zoek naar, of beschikt niet over de middelen, om de beveiliging in hun toeleveringsketens te beheren. Maar blindelings uw partners en leveranciers vertrouwen op hun cyberbeveiligingshouding is in het huidige klimaat niet duurzaam. Het is inderdaad de hoogste tijd om serieus aan de slag te gaan met het beheersen van de risico's in de toeleveringsketen.

Wat is ketenrisico?

Cyberrisico’s in de toeleveringsketen kunnen vele vormen aannemen ransomware en gegevensdiefstal tot denial of service (DDoS) en fraude. Ze kunnen gevolgen hebben voor traditionele leveranciers, zoals professionele dienstverleners (bijvoorbeeld advocaten, accountants) of leveranciers van bedrijfssoftware. Aanvallers kunnen ook achter Managed Service Providers (MSP's) aan gaan, omdat ze door op deze manier één bedrijf in gevaar te brengen toegang kunnen krijgen tot een potentieel groot aantal downstream-klantbedrijven. Onderzoek van vorig jaar bleek dat 90% van de MSP’s in de voorgaande 18 maanden te maken kreeg met een cyberaanval.

Hier volgen enkele van de belangrijkste soorten supply chain-cyberaanvallen en hoe deze plaatsvinden:

• Gecompromitteerde eigen software: Cybercriminelen worden brutaler. In sommige gevallen hebben ze een manier kunnen vinden om softwareontwikkelaars in gevaar te brengen en malware in code te plaatsen die vervolgens aan downstream-klanten wordt afgeleverd. Dit is wat er gebeurde in de Kaseya-ransomwarecampagne. In een recenter geval, populaire software voor bestandsoverdracht MOVEit is gecompromitteerd door een zero-day-kwetsbaarheid en gegevens die zijn gestolen van honderden zakelijke gebruikers, met gevolgen voor miljoenen van hun klanten. Ondertussen is de compromis van de 3CX-communicatiesoftware ging de geschiedenis in als het allereerste publiekelijk gedocumenteerde incident waarbij de ene aanval op de toeleveringsketen leidde tot de andere.
• Aanvallen op open source toeleveringsketens: De meeste ontwikkelaars gebruiken open source-componenten om de time-to-market voor hun softwareprojecten te versnellen. Maar bedreigingsactoren weten dit en zijn begonnen malware in componenten te plaatsen en deze beschikbaar te maken in populaire opslagplaatsen. Eén rapport beweert er is een toename van 633% op jaarbasis in dergelijke aanvallen. Bedreigingsactoren maken ook snel misbruik van kwetsbaarheden in open source-code, die sommige gebruikers misschien traag kunnen patchen. Dit is wat er gebeurde toen er een kritieke bug werd gevonden in een vrijwel alomtegenwoordig hulpmiddel bekend als Log4j.
• Zich voordoen als leveranciers wegens fraude: Geavanceerde aanvallen bekend als compromis zakelijke e-mail Bij BEC zijn soms fraudeurs betrokken die zich voordoen als leveranciers om een ​​klant te misleiden om hem geld over te maken. De aanvaller zal meestal een e-mailaccount van de ene of de andere partij kapen en de e-mailstromen monitoren totdat de tijd rijp is om in te grijpen en een valse factuur met gewijzigde bankgegevens te sturen.
• Diefstal van inloggegevens: aanvallers de logins stelen van leveranciers in een poging inbreuk te maken op de leverancier of hun klanten (tot wiens netwerken zij mogelijk toegang hebben). Dit is wat er gebeurde tijdens de enorme Target-overtreding van 2013 hackers hebben de inloggegevens gestolen van een van de HVAC-leveranciers van de retailer.
• Data diefstal: Veel leveranciers slaan gevoelige gegevens over hun klanten op, vooral bedrijven zoals advocatenkantoren die op de hoogte zijn van intieme bedrijfsgeheimen. Ze vormen een aantrekkelijk doelwit voor dreigingsactoren die op zoek zijn naar informatie die ze kunnen vinden geld verdienen via afpersing of andere middelen.

Hoe beoordeelt en beperkt u het leveranciersrisico?

Wat het specifieke risico voor de toeleveringsketen ook is, het eindresultaat kan hetzelfde zijn: financiële schade en reputatieschade en het risico op rechtszaken, operationele storingen, omzetverlies en boze klanten. Toch is het mogelijk om deze risico’s te beheersen door enkele best practices uit de sector te volgen. Hier zijn acht ideeën:

1. Voer een due diligence-onderzoek uit bij elke nieuwe leverancier. Dat betekent dat u moet controleren of hun beveiligingsprogramma aansluit bij uw verwachtingen, en dat zij basismaatregelen hebben getroffen voor de bescherming, detectie en reactie op bedreigingen. Voor softwareleveranciers moet het ook gaan over de vraag of ze een programma voor kwetsbaarheidsbeheer hebben geïnstalleerd en wat hun reputatie is met betrekking tot de kwaliteit van hun producten.
2. Beheer open source-risico's. Dit kan betekenen dat er tools voor softwarecompositieanalyse (SCA) moeten worden gebruikt om inzicht te krijgen in softwarecomponenten, naast het voortdurend scannen op kwetsbaarheden en malware, en het snel patchen van eventuele bugs. Zorg er ook voor dat ontwikkelaarsteams het belang van security by design begrijpen bij het ontwikkelen van producten.
3. Voer een risicobeoordeling uit van alle leveranciers. Dit begint met inzicht krijgen in wie uw leveranciers zijn en vervolgens controleren of zij basisveiligheidsmaatregelen hebben getroffen. Dit moet zich uitstrekken tot hun eigen toeleveringsketens. Voer regelmatig audits uit en controleer waar nodig of er sprake is van accreditatie volgens de industrienormen en -regelgeving.
4. Houd een lijst bij van al uw goedgekeurde leveranciers en werk dit regelmatig bij op basis van de resultaten van uw audit. Regelmatige audits en updates van de leverancierslijst zullen organisaties in staat stellen grondige risicobeoordelingen uit te voeren, potentiële kwetsbaarheden te identificeren en ervoor te zorgen dat leveranciers zich aan de cyberbeveiligingsnormen houden.
5. Stel een formeel beleid op voor leveranciers. Hierin moeten uw vereisten voor het beperken van leveranciersrisico's worden beschreven, inclusief eventuele SLA's waaraan moet worden voldaan. Als zodanig dient het als een fundamenteel document waarin de verwachtingen, normen en procedures worden uiteengezet waaraan leveranciers zich moeten houden om de veiligheid van de algehele toeleveringsketen te garanderen.
6. Beheer de toegangsrisico's van leveranciers. Dwing het principe van ‘least privilege’ af bij leveranciers als zij toegang tot het bedrijfsnetwerk nodig hebben. Dit zou kunnen worden ingezet als onderdeel van een Zero Trust-aanpak, waarbij alle gebruikers en apparaten niet worden vertrouwd totdat ze zijn geverifieerd, waarbij continue authenticatie en netwerkmonitoring een extra laag risicobeperking toevoegen.
7. Ontwikkel een incidentresponsplan. In het geval van een worst case scenario, zorg ervoor dat u een goed ingestudeerd plan heeft dat u kunt volgen om de dreiging onder controle te houden voordat deze de kans krijgt de organisatie te beïnvloeden. Dit omvat onder meer hoe u contact kunt onderhouden met teams die voor uw leveranciers werken.
8. Overweeg de implementatie van industriestandaarden. ISO 27001 en ISO 28000 hebben veel nuttige manieren om enkele van de hierboven genoemde stappen uit te voeren om het leveranciersrisico te minimaliseren.

In de VS vonden er vorig jaar 40% meer supply chain-aanvallen plaats dan op malware gebaseerde aanvallen een rapport. Ze resulteerden in inbreuken die gevolgen hadden voor meer dan 10 miljoen individuen. Het is tijd om de controle terug te nemen door een effectiever leveranciersrisicobeheer.