Digitale kwetsbaarheid in de keten

Het Data Breach Investigations Report van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waar komt deze stijging vandaan en hoe kun je je er tegen wapenen?

Vandaag de dag maken organisaties deel uit van een complexe keten van partners. Denk aan logistieke partijen, toeleveranciers, toezichthouders, etc. IT-leveranciers behoren ook tot deze opsomming, zeker nu veel organisaties gebruik maken van cloudtechnologie. Al deze partners zijn met elkaar verbonden, werken samen en delen informatie.

Een kwetsbaarheid in de IT-omgeving van een van de partners is meteen een groot risico voor alle andere aangesloten organisaties. 62 procent van de inbreuken die plaatsvinden op de supply chain vallen buiten de controle van de organisaties die uiteindelijk worden aangevallen. Gezien het feit dat in voorgaande jaren dit percentage verwaarloosbaar was, is er reden genoeg om dit te analyseren en er lering uit te trekken.

Spionage van de bovenste plank

Volgens de analisten van Verizon is de grote toename van het aantal incidenten waarbij een derde partij of een leverancier in de keten betrokken is, toe te schrijven aan één omvangrijke hack. Of liever gezegd: spionage van de bovenste plank. Het gaat om een internationaal softwarebedrijf dat oplossingen levert om IT-resources te managen. Dit wordt onder andere bij veel Amerikaanse federale diensten ingezet.

Hackers waren erin geslaagd malware te planten ergens in het proces van softwareontwikkeling. Het gevolg was dat de klanten bij een patch of software-update de kwaadaardige code automatisch binnenkregen en voor een grote kwetsbaarheid zorgde. Hackers gebruikten deze open achterdeur om ook daar malware te plaatsen waarmee zij bedrijven en instellingen kon bespioneren. Saillant detail is dat volgens experts de aanval te herleiden is naar een Russisch hackerscollectief. Dit alles gebeurde in de loop van 2020 en werd pas opgemerkt eind 2020 (waardoor dit grote incident niet in de cijfers van het 2021 rapport konden worden meegenomen).

Extra waakzaam

Van recentere datum en wat dichterbij huis is het voorbeeld van een leverancier van smartcardoplossingen die worden ingezet om (fysieke) toegang te beveiligen en controleren. Het gaat onder andere om de Rijkspas, die gebruikt wordt door rijksambtenaren en in de Tweede Kamer om gebouwen binnen te komen. Er zou data zijn buitgemaakt van zo’n 3500 rijksambtenaren. Later werd duidelijk dat ook gegevens van studenten en medewerkers van de TU Eindhoven op straat zijn komen te liggen door de hack bij de toeleverancier. De onderwijsinstelling raadt zijn studenten en medewerkers aan de komende tijd extra waakzaam te zijn.

Het raakt direct business continuïteit

Nu het versterken van de digitale weerbaarheid voor de meeste organisaties topprioriteit is, moet je met een kritisch oog naar al je toeleveranciers kijken. Het raakt immers direct de business continuïteit. Je zult als organisatie goed moeten monitoren wie je partners zijn, hoe zij hun systemen beveiligd hebben en of je daar dan echt wel mee wil samenwerken. Dit moet niet een eenmalige oefening zijn; hier moet je feitelijk continu bovenop zitten, omdat het partnerlandschap voortdurend verandert. Denk hierbij aan zaken als:

  • Hoe is het patchbeleid bij de partner?
  • Zorgt de partner voor continue bewustzijnstrainingen voor medewerkers?
  • Hoe zijn de verbindingen en netwerken die jullie gezamenlijk gebruiken beveiligd?
  • En in het geval van een softwareleverancier: hoe is het proces van softwareontwikkeling beveiligd?

Daadkrachtig optreden

Het DBIR 2022 heeft ten slotte enkele bemoedigende woorden. De enorme hack in de VS met de leverancier van IT-resources managementoplossing heeft dan wel kunnen plaatsvinden, maar de reactie van de complete keten was daadkrachtig. Overheid, bedrijfsleven en de securitysector hebben de handen ineengeslagen om informatie te delen en de gevolgen te beperken. Laat dit een goed voorbeeld zijn voor de toekomst, waarin we waarschijnlijk meer van dit soort grootschalige incidenten zullen meemaken.

Gerelateerde artikelen

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is 
CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.

Zero trust: hoe maak ik het concreet?

Zero trust: hoe maak ik het concreet?

Jaarlijks zijn er tal van onderzoek- en adviesbureaus met allerlei overzichten van strategische trends in IT en cybersecurity. Steevast is zero trust onderdeel van deze lijstjes, met over het algemeen een toelichting in de trant van ‘vertrouw niets zomaar, maar verifieer. Maar wat moet je hier nu concreet mee als CIO, CISO of IT-manager?

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Gebrekkige compliance: Nederlandse bedrijven vatbaar voor datalekken

Meer dan een derde van alle Nederlandse bedrijven zakte vorig jaar voor hun compliance-audit. Daardoor lopen ze een tien keer grotere kans op een datalek. Tien procent werd in 2023 slachtoffer van een ransomware-aanval. Van al die bedrijven betaalde vier procent losgeld. Dat stelt Thales in zijn meest recente Data Threat Report.

Twee derde werknemers gokt met security

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.