Publiceren & Adverteren
Digitale kwetsbaarheid in de keten

Rolf Hellemons

3 november 2022
Start met lezen

Het Data Breach Investigations Report van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waar komt deze stijging vandaan en hoe kun je je er tegen wapenen?

Vandaag de dag maken organisaties deel uit van een complexe keten van partners. Denk aan logistieke partijen, toeleveranciers, toezichthouders, etc. IT-leveranciers behoren ook tot deze opsomming, zeker nu veel organisaties gebruik maken van cloudtechnologie. Al deze partners zijn met elkaar verbonden, werken samen en delen informatie.

Een kwetsbaarheid in de IT-omgeving van een van de partners is meteen een groot risico voor alle andere aangesloten organisaties. 62 procent van de inbreuken die plaatsvinden op de supply chain vallen buiten de controle van de organisaties die uiteindelijk worden aangevallen. Gezien het feit dat in voorgaande jaren dit percentage verwaarloosbaar was, is er reden genoeg om dit te analyseren en er lering uit te trekken.

Spionage van de bovenste plank

Volgens de analisten van Verizon is de grote toename van het aantal incidenten waarbij een derde partij of een leverancier in de keten betrokken is, toe te schrijven aan één omvangrijke hack. Of liever gezegd: spionage van de bovenste plank. Het gaat om een internationaal softwarebedrijf dat oplossingen levert om IT-resources te managen. Dit wordt onder andere bij veel Amerikaanse federale diensten ingezet.

Hackers waren erin geslaagd malware te planten ergens in het proces van softwareontwikkeling. Het gevolg was dat de klanten bij een patch of software-update de kwaadaardige code automatisch binnenkregen en voor een grote kwetsbaarheid zorgde. Hackers gebruikten deze open achterdeur om ook daar malware te plaatsen waarmee zij bedrijven en instellingen kon bespioneren. Saillant detail is dat volgens experts de aanval te herleiden is naar een Russisch hackerscollectief. Dit alles gebeurde in de loop van 2020 en werd pas opgemerkt eind 2020 (waardoor dit grote incident niet in de cijfers van het 2021 rapport konden worden meegenomen).

Extra waakzaam

Van recentere datum en wat dichterbij huis is het voorbeeld van een leverancier van smartcardoplossingen die worden ingezet om (fysieke) toegang te beveiligen en controleren. Het gaat onder andere om de Rijkspas, die gebruikt wordt door rijksambtenaren en in de Tweede Kamer om gebouwen binnen te komen. Er zou data zijn buitgemaakt van zo’n 3500 rijksambtenaren. Later werd duidelijk dat ook gegevens van studenten en medewerkers van de TU Eindhoven op straat zijn komen te liggen door de hack bij de toeleverancier. De onderwijsinstelling raadt zijn studenten en medewerkers aan de komende tijd extra waakzaam te zijn.

Het raakt direct business continuïteit

Nu het versterken van de digitale weerbaarheid voor de meeste organisaties topprioriteit is, moet je met een kritisch oog naar al je toeleveranciers kijken. Het raakt immers direct de business continuïteit. Je zult als organisatie goed moeten monitoren wie je partners zijn, hoe zij hun systemen beveiligd hebben en of je daar dan echt wel mee wil samenwerken. Dit moet niet een eenmalige oefening zijn; hier moet je feitelijk continu bovenop zitten, omdat het partnerlandschap voortdurend verandert. Denk hierbij aan zaken als:

  • Hoe is het patchbeleid bij de partner?
  • Zorgt de partner voor continue bewustzijnstrainingen voor medewerkers?
  • Hoe zijn de verbindingen en netwerken die jullie gezamenlijk gebruiken beveiligd?
  • En in het geval van een softwareleverancier: hoe is het proces van softwareontwikkeling beveiligd?

Daadkrachtig optreden

Het DBIR 2022 heeft ten slotte enkele bemoedigende woorden. De enorme hack in de VS met de leverancier van IT-resources managementoplossing heeft dan wel kunnen plaatsvinden, maar de reactie van de complete keten was daadkrachtig. Overheid, bedrijfsleven en de securitysector hebben de handen ineengeslagen om informatie te delen en de gevolgen te beperken. Laat dit een goed voorbeeld zijn voor de toekomst, waarin we waarschijnlijk meer van dit soort grootschalige incidenten zullen meemaken.

Gerelateerde artikelen

Meer artikelen
Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.

Twee derde werknemers gokt met security

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

Overheid lanceert NIS2-Quickscan

Overheid lanceert NIS2-Quickscan

Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.