Digitale kwetsbaarheid in de keten

Het Data Breach Investigations Report van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waar komt deze stijging vandaan en hoe kun je je er tegen wapenen?

Vandaag de dag maken organisaties deel uit van een complexe keten van partners. Denk aan logistieke partijen, toeleveranciers, toezichthouders, etc. IT-leveranciers behoren ook tot deze opsomming, zeker nu veel organisaties gebruik maken van cloudtechnologie. Al deze partners zijn met elkaar verbonden, werken samen en delen informatie.

Een kwetsbaarheid in de IT-omgeving van een van de partners is meteen een groot risico voor alle andere aangesloten organisaties. 62 procent van de inbreuken die plaatsvinden op de supply chain vallen buiten de controle van de organisaties die uiteindelijk worden aangevallen. Gezien het feit dat in voorgaande jaren dit percentage verwaarloosbaar was, is er reden genoeg om dit te analyseren en er lering uit te trekken.

Spionage van de bovenste plank

Volgens de analisten van Verizon is de grote toename van het aantal incidenten waarbij een derde partij of een leverancier in de keten betrokken is, toe te schrijven aan één omvangrijke hack. Of liever gezegd: spionage van de bovenste plank. Het gaat om een internationaal softwarebedrijf dat oplossingen levert om IT-resources te managen. Dit wordt onder andere bij veel Amerikaanse federale diensten ingezet.

Hackers waren erin geslaagd malware te planten ergens in het proces van softwareontwikkeling. Het gevolg was dat de klanten bij een patch of software-update de kwaadaardige code automatisch binnenkregen en voor een grote kwetsbaarheid zorgde. Hackers gebruikten deze open achterdeur om ook daar malware te plaatsen waarmee zij bedrijven en instellingen kon bespioneren. Saillant detail is dat volgens experts de aanval te herleiden is naar een Russisch hackerscollectief. Dit alles gebeurde in de loop van 2020 en werd pas opgemerkt eind 2020 (waardoor dit grote incident niet in de cijfers van het 2021 rapport konden worden meegenomen).

Extra waakzaam

Van recentere datum en wat dichterbij huis is het voorbeeld van een leverancier van smartcardoplossingen die worden ingezet om (fysieke) toegang te beveiligen en controleren. Het gaat onder andere om de Rijkspas, die gebruikt wordt door rijksambtenaren en in de Tweede Kamer om gebouwen binnen te komen. Er zou data zijn buitgemaakt van zo’n 3500 rijksambtenaren. Later werd duidelijk dat ook gegevens van studenten en medewerkers van de TU Eindhoven op straat zijn komen te liggen door de hack bij de toeleverancier. De onderwijsinstelling raadt zijn studenten en medewerkers aan de komende tijd extra waakzaam te zijn.

Het raakt direct business continuïteit

Nu het versterken van de digitale weerbaarheid voor de meeste organisaties topprioriteit is, moet je met een kritisch oog naar al je toeleveranciers kijken. Het raakt immers direct de business continuïteit. Je zult als organisatie goed moeten monitoren wie je partners zijn, hoe zij hun systemen beveiligd hebben en of je daar dan echt wel mee wil samenwerken. Dit moet niet een eenmalige oefening zijn; hier moet je feitelijk continu bovenop zitten, omdat het partnerlandschap voortdurend verandert. Denk hierbij aan zaken als:

  • Hoe is het patchbeleid bij de partner?
  • Zorgt de partner voor continue bewustzijnstrainingen voor medewerkers?
  • Hoe zijn de verbindingen en netwerken die jullie gezamenlijk gebruiken beveiligd?
  • En in het geval van een softwareleverancier: hoe is het proces van softwareontwikkeling beveiligd?

Daadkrachtig optreden

Het DBIR 2022 heeft ten slotte enkele bemoedigende woorden. De enorme hack in de VS met de leverancier van IT-resources managementoplossing heeft dan wel kunnen plaatsvinden, maar de reactie van de complete keten was daadkrachtig. Overheid, bedrijfsleven en de securitysector hebben de handen ineengeslagen om informatie te delen en de gevolgen te beperken. Laat dit een goed voorbeeld zijn voor de toekomst, waarin we waarschijnlijk meer van dit soort grootschalige incidenten zullen meemaken.

Gerelateerde artikelen

Digitale transformatie? Wat dacht je van een security transformatie?

Digitale transformatie? Wat dacht je van een security transformatie?

In hun haast om de snelle veranderingen bij te houden en competitief en relevant te blijven door processen te transformeren, verwaarlozen veel organisaties een belangrijk onderdeel van digitale transformatie: een sterk cyberbeveiligingsprogramma dat hen tegen de nieuwste bedreigingen verdedigt.

‘De menselijke factor in security is echt lang vergeten’

‘De menselijke factor in security is echt lang vergeten’

“In security besteden we heel veel geld aan zaken die niet het grootste probleem zijn. Zeventig tot negentig procent van de inbreuken heeft zijn wortels in de menselijke factor. En juist daar gaat erbarmelijk weinig geld naar toe”, aldus Jelle Wieringa, security advocate bij KnowBe4.