Digitale kwetsbaarheid in de keten | IT Executive

Digitale kwetsbaarheid in de keten

Rolf Hellemons

3 november 2022

Start met lezen

Portrait of Serious Professional Technical Controller Sitting at His Desk with Multiple Computer Displays Before Him. In the Background His Colleagues Working in System Control and Monitoring Center.

Het Data Breach Investigations Report van Verizon is ieder jaar weer een bonte verzameling feiten en trends op het gebied van security. Van jaar op jaar zie je doorgaans weinig grote trendbreuken. Dat was dit jaar anders. Het aantal inbreuken of security-incidenten waarbij een ketenpartner betrokken is, nam schrikbarend toe. Waar komt deze stijging vandaan en hoe kun je je er tegen wapenen?

Vandaag de dag maken organisaties deel uit van een complexe keten van partners. Denk aan logistieke partijen, toeleveranciers, toezichthouders, etc. IT-leveranciers behoren ook tot deze opsomming, zeker nu veel organisaties gebruik maken van cloudtechnologie. Al deze partners zijn met elkaar verbonden, werken samen en delen informatie.

Een kwetsbaarheid in de IT-omgeving van een van de partners is meteen een groot risico voor alle andere aangesloten organisaties. 62 procent van de inbreuken die plaatsvinden op de supply chain vallen buiten de controle van de organisaties die uiteindelijk worden aangevallen. Gezien het feit dat in voorgaande jaren dit percentage verwaarloosbaar was, is er reden genoeg om dit te analyseren en er lering uit te trekken.

Spionage van de bovenste plank

Volgens de analisten van Verizon is de grote toename van het aantal incidenten waarbij een derde partij of een leverancier in de keten betrokken is, toe te schrijven aan één omvangrijke hack. Of liever gezegd: spionage van de bovenste plank. Het gaat om een internationaal softwarebedrijf dat oplossingen levert om IT-resources te managen. Dit wordt onder andere bij veel Amerikaanse federale diensten ingezet.

Hackers waren erin geslaagd malware te planten ergens in het proces van softwareontwikkeling. Het gevolg was dat de klanten bij een patch of software-update de kwaadaardige code automatisch binnenkregen en voor een grote kwetsbaarheid zorgde. Hackers gebruikten deze open achterdeur om ook daar malware te plaatsen waarmee zij bedrijven en instellingen kon bespioneren. Saillant detail is dat volgens experts de aanval te herleiden is naar een Russisch hackerscollectief. Dit alles gebeurde in de loop van 2020 en werd pas opgemerkt eind 2020 (waardoor dit grote incident niet in de cijfers van het 2021 rapport konden worden meegenomen).

Extra waakzaam

Van recentere datum en wat dichterbij huis is het voorbeeld van een leverancier van smartcardoplossingen die worden ingezet om (fysieke) toegang te beveiligen en controleren. Het gaat onder andere om de Rijkspas, die gebruikt wordt door rijksambtenaren en in de Tweede Kamer om gebouwen binnen te komen. Er zou data zijn buitgemaakt van zo’n 3500 rijksambtenaren. Later werd duidelijk dat ook gegevens van studenten en medewerkers van de TU Eindhoven op straat zijn komen te liggen door de hack bij de toeleverancier. De onderwijsinstelling raadt zijn studenten en medewerkers aan de komende tijd extra waakzaam te zijn.

Het raakt direct business continuïteit

Nu het versterken van de digitale weerbaarheid voor de meeste organisaties topprioriteit is, moet je met een kritisch oog naar al je toeleveranciers kijken. Het raakt immers direct de business continuïteit. Je zult als organisatie goed moeten monitoren wie je partners zijn, hoe zij hun systemen beveiligd hebben en of je daar dan echt wel mee wil samenwerken. Dit moet niet een eenmalige oefening zijn; hier moet je feitelijk continu bovenop zitten, omdat het partnerlandschap voortdurend verandert. Denk hierbij aan zaken als:

Hoe is het patchbeleid bij de partner?
Zorgt de partner voor continue bewustzijnstrainingen voor medewerkers?
Hoe zijn de verbindingen en netwerken die jullie gezamenlijk gebruiken beveiligd?
En in het geval van een softwareleverancier: hoe is het proces van softwareontwikkeling beveiligd?

Daadkrachtig optreden

Het DBIR 2022 heeft ten slotte enkele bemoedigende woorden. De enorme hack in de VS met de leverancier van IT-resources managementoplossing heeft dan wel kunnen plaatsvinden, maar de reactie van de complete keten was daadkrachtig. Overheid, bedrijfsleven en de securitysector hebben de handen ineengeslagen om informatie te delen en de gevolgen te beperken. Laat dit een goed voorbeeld zijn voor de toekomst, waarin we waarschijnlijk meer van dit soort grootschalige incidenten zullen meemaken.

Gerelateerde artikelen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Rapport: kwart cyberaanvallen gericht op OT-systemen

Ofschoon bedrijven met OT vorderingen maken op het gebied van cybervolwassenheid, hebben ze met een snel groeiende hoeveelheid aanvallen te maken. Bijna een kwart van alle cyberaanvallen is nu op OT-ststemen gericht.

De werkelijke kosten van downtime

De werkelijke kosten van downtime

Wat gebeurt er als een grote organisatie te maken krijgt met DDoS-aanvallen, softwarestoringen of zelfs een bedrijfsbrede hack? Hoewel de directe kosten van ongeplande downtime gemakkelijk zichtbaar zijn, moeten organisaties de indirecte of verborgen kosten van digitale storingen niet onderschatten.

‘Brede bestrijding cybercrime door wereldwijde omvang en dreiging belangrijker dan ooit’

‘Brede bestrijding cybercrime door wereldwijde omvang en dreiging belangrijker dan ooit’

Vorig jaar werden 2,3 miljoen Nederlanders getroffen door een vorm van online criminaliteit, die gepaard gaat met enorme financiële schade, maar vooral het vertrouwen in elkaar en in de digitale infrastructuur aantast, aldus het Cybercrimebeeld Nederland 2024 van het OM en de Politie.

Jeroen Schipper (Gemeente Den Haag) is  CISO of the Year 2024

Jeroen Schipper (Gemeente Den Haag) is  CISO of the Year 2024

Jeroen Schipper, CISO bij de Gemeente Den Haag, heeft gisteravond de CISO of the Year 2024 Award gewonnen. Hij dankt de prijs aan zijn transformationele rol en zijn holistische en inclusieve benadering van cybersecurity. Ook zijn bijdragen aan de professionalisering van het CISO-vak en zijn rol als actieve vertegenwoordiger van de stad Den Haag op cybersecurity-gebied zijn meegewogen.