Digitale kwetsbaarheid in de keten

Het Data Breach Investigations Report van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waar komt deze stijging vandaan en hoe kun je je er tegen wapenen?

Vandaag de dag maken organisaties deel uit van een complexe keten van partners. Denk aan logistieke partijen, toeleveranciers, toezichthouders, etc. IT-leveranciers behoren ook tot deze opsomming, zeker nu veel organisaties gebruik maken van cloudtechnologie. Al deze partners zijn met elkaar verbonden, werken samen en delen informatie.

Een kwetsbaarheid in de IT-omgeving van een van de partners is meteen een groot risico voor alle andere aangesloten organisaties. 62 procent van de inbreuken die plaatsvinden op de supply chain vallen buiten de controle van de organisaties die uiteindelijk worden aangevallen. Gezien het feit dat in voorgaande jaren dit percentage verwaarloosbaar was, is er reden genoeg om dit te analyseren en er lering uit te trekken.

Spionage van de bovenste plank

Volgens de analisten van Verizon is de grote toename van het aantal incidenten waarbij een derde partij of een leverancier in de keten betrokken is, toe te schrijven aan één omvangrijke hack. Of liever gezegd: spionage van de bovenste plank. Het gaat om een internationaal softwarebedrijf dat oplossingen levert om IT-resources te managen. Dit wordt onder andere bij veel Amerikaanse federale diensten ingezet.

Hackers waren erin geslaagd malware te planten ergens in het proces van softwareontwikkeling. Het gevolg was dat de klanten bij een patch of software-update de kwaadaardige code automatisch binnenkregen en voor een grote kwetsbaarheid zorgde. Hackers gebruikten deze open achterdeur om ook daar malware te plaatsen waarmee zij bedrijven en instellingen kon bespioneren. Saillant detail is dat volgens experts de aanval te herleiden is naar een Russisch hackerscollectief. Dit alles gebeurde in de loop van 2020 en werd pas opgemerkt eind 2020 (waardoor dit grote incident niet in de cijfers van het 2021 rapport konden worden meegenomen).

Extra waakzaam

Van recentere datum en wat dichterbij huis is het voorbeeld van een leverancier van smartcardoplossingen die worden ingezet om (fysieke) toegang te beveiligen en controleren. Het gaat onder andere om de Rijkspas, die gebruikt wordt door rijksambtenaren en in de Tweede Kamer om gebouwen binnen te komen. Er zou data zijn buitgemaakt van zo’n 3500 rijksambtenaren. Later werd duidelijk dat ook gegevens van studenten en medewerkers van de TU Eindhoven op straat zijn komen te liggen door de hack bij de toeleverancier. De onderwijsinstelling raadt zijn studenten en medewerkers aan de komende tijd extra waakzaam te zijn.

Het raakt direct business continuïteit

Nu het versterken van de digitale weerbaarheid voor de meeste organisaties topprioriteit is, moet je met een kritisch oog naar al je toeleveranciers kijken. Het raakt immers direct de business continuïteit. Je zult als organisatie goed moeten monitoren wie je partners zijn, hoe zij hun systemen beveiligd hebben en of je daar dan echt wel mee wil samenwerken. Dit moet niet een eenmalige oefening zijn; hier moet je feitelijk continu bovenop zitten, omdat het partnerlandschap voortdurend verandert. Denk hierbij aan zaken als:

  • Hoe is het patchbeleid bij de partner?
  • Zorgt de partner voor continue bewustzijnstrainingen voor medewerkers?
  • Hoe zijn de verbindingen en netwerken die jullie gezamenlijk gebruiken beveiligd?
  • En in het geval van een softwareleverancier: hoe is het proces van softwareontwikkeling beveiligd?

Daadkrachtig optreden

Het DBIR 2022 heeft ten slotte enkele bemoedigende woorden. De enorme hack in de VS met de leverancier van IT-resources managementoplossing heeft dan wel kunnen plaatsvinden, maar de reactie van de complete keten was daadkrachtig. Overheid, bedrijfsleven en de securitysector hebben de handen ineengeslagen om informatie te delen en de gevolgen te beperken. Laat dit een goed voorbeeld zijn voor de toekomst, waarin we waarschijnlijk meer van dit soort grootschalige incidenten zullen meemaken.

Gerelateerde artikelen

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.

Bestuur CISO Platform Nederland is compleet

Bestuur CISO Platform Nederland is compleet

Het bestuur van CISO Platform Nederland, de non-profit vereniging van de CISO community Nederland, is compleet: de CISO’s Dimitri van Zantvliet, Luisella ten Pierik, Mahdi Abdulrazak, Justin Broeders en mede-oprichter Rob Beijleveld zijn op 16 februari officieel toegetreden tot het bestuur van de organisatie.

Security versus privacy

Security versus privacy

Security en privacy – twee onderwerpen die in de dagelijkse security-operatie nauwelijks in één ademteug worden genoemd. Enerzijds is dat maar goed ook. Als je tactisch en strategisch nadenkt over borging van privacy, kan de operatie binnen die gestelde kaders haar vrije gang gaan.