Hoe voorkom je blinde vlekken in de supply chain?

Supply chains waren in 2021 een lucratieve bron van inkomsten voor cybercriminelen. Een trend die we dit jaar waarschijnlijk weer terug zullen gaan zien. Er is dan ook maar één kwetsbaarheid of één gecompromitteerd slachtoffer in de keten nodig om veel interessante doelwitten tegelijk te raken, denk aan SolarWinds en Kaseya. Zo simpel als de methodes van sommige aanvallers zijn om de supply chain binnen te komen, zo complex zitten sommige supply chains in elkaar. Dus hoe kunnen we deze ingewikkelde ketens beschermen tegen deze groeiende dreiging?

De uitdagingen van supply chain-beveiliging

Het end-to-end beheren van de supply chain is een enorme taak. Helaas vertrouwen veel bedrijven nog altijd op spreadsheets als het gaan om de bescherming tegen cybercriminelen. Het gebrek aan inzicht in de eigen IT-assets dat hierdoor kan ontstaan en de algehele afhankelijkheid van partners en leveranciers binnen de supply chain, vormt een enorm risico. Daarom is het belangrijk om eerst antwoord te hebben op een aantal fundamentele vragen, zoals: wie zijn mijn leveranciers? Hoe ziet hun security eruit? En hoe gebruiken zij hun data?

Aangezien software-kwetsbaarheden in supply chain management- of leveranciersystemen enorme gevolgen kunnen hebben, is het belangrijk om voorafgaand aan de onboarding due diligence uit te voeren, maar ook om de relatie regelmatig opnieuw te beoordelen. Er kunnen bijvoorbeeld verplichte security-normen worden afgesproken en vastgesteld. Veel bedrijven beschouwen supply chain-beveiliging echter als een eenmalig iets. Daarnaast worden beveiligingsteams vaak te laat in het onboardingproces ingeschakeld om risico’s uit te sluiten.

Eén kwetsbaarheid is voldoende: zodra cybercriminelen toegang hebben tot het netwerk kunnen ze rechtstreeks naar de meest waardevolle gegevens van het bedrijf gaan. Deze methode heet laterale beweging: hackers richten zich op diefstal en misbruik van inloggegevens en werken zich een weg naar belangrijke assets via zijwaartse bewegingen over het netwerk. Om deze reden hebben organisaties maximaal inzicht nodig om toegangsrechten en bijbehorende kwetsbaarheden te kunnen analyseren.

Bovendien moeten beveiligingsteams controleren of de gebruikte hardware geen frauduleuze componenten of malware bevat en of deze niet is vervalst zodat, bijvoorbeeld, gegevensopslag door derden kan plaatsvinden.

Toenemende eisen aan supply chains

Wat aanvallen op de supply chain onderscheidt van andere, gerichte aanvallen, is het feit dat risicobeheer over de bedrijfsgrenzen moet worden toegepast. Daarbij mogen beveiligingseisen voor de supply chain niet buiten de boot vallen. Het (Amerikaanse) National Institute of Standards and Technology (NIST) ziet identificatie, beoordeling en beperking van cyberrisico’s in de supply chain als kritieke factor voor het bereiken van een adequaat niveau van IT-beveiliging.

Het NIST herinnert ons er daarbij aan dat globalisering, outsourcing en digitalisering leiden tot toenemende afhankelijkheid binnen complexe supply chains. Daardoor zijn beveiligingsmaatregelen die zich uitsluitend richten op de eigen bedrijfsvoering niet meer voldoende.

Het is duidelijk dat wettelijke vereisten voor cybersecurity in de supply chain steeds belangrijker worden. Omdat wettelijke voorschriften en technische maatregelen het vereiste beveiligingsniveau echter niet voldoende in kaart kunnen brengen, moeten bedrijven vertrouwen op contractuele voorschriften om risico’s zoveel mogelijk te beperken. Uiteindelijk zullen de bedrijven met de beste beveiligingspraktijken het meest succesvol zijn.

Supply chain best practices

Cyberrisico’s omvatten inkoop, leveranciersbeheer, continuïteit en kwaliteit van de supply chain en transportbeveiliging. Daarom is het belangrijk om de juiste vragen aan de juiste leveranciers te stellen.

Zo is het onder meer belangrijk om te weten of het software- en hardware-ontwikkelingsproces van de leverancier is gedocumenteerd en of bij het productontwerp rekening is gehouden met de beperkingen van bekende kwetsbaarheden. Welke controles worden er uitgevoerd om de productieprocessen te beheren en te bewaken? Hoe wordt configuratiebeheer uitgevoerd en in hoeverre worden malware-onderzoeken uitgevoerd? Hoe zorgt de leverancier voor beveiliging gedurende de hele levenscyclus van het product?

Om de risico’s te beperken, kunnen bedrijven het volgende doen:

  • Beveiligingsvereisten moeten in alle RFP’s en contracten worden vastgelegd.
  • Als een leverancier geïntegreerd is in de supply chain, is het aan het beveiligingsteam om nauw samen te werken om mogelijke kwetsbaarheden te elimineren.
  • Een one strike and you’re out-beleid is van toepassing op alle producten van leveranciers die niet aan de specificaties voldoen.
  • De aankoop van componenten moet streng gecontroleerd worden. Voor gekochte software moet broncode worden verkregen.
  • Beveiligde boot-processen zoeken naar authenticatiecodes, zodat het systeem niet opstart als de codes niet worden herkend.
  • Het automatiseren van de bouw- en testprocessen verkleint het risico op menselijk ingrijpen.

De beste vorm van proactief risicobeheer zijn tools die continu inzicht in endpoints bieden en managers de controle geven die ze nodig hebben om snel te reageren op incidenten. Een centrale oplossing voor endpointbeheer stelt organisaties in staat om vragen te stellen aan beheerde endpoints de reacties te analyseren en acties te distribueren op basis van deze antwoorden.

Verder kan de actuele staat van een beveiligings- en operationele omgeving worden gevisualiseerd, zodat op basis van de verzamelde gegevens passende acties kunnen worden ondernomen. Door endpoints continu te controleren op afwijkende activiteiten kunnen realtime waarschuwingen worden afgegeven, zodat beveiligingsteams onmiddellijk actie kunnen ondernemen om het netwerk te beschermen.

Conclusie

Supply chain-aanvallen zijn de afgelopen jaren zeer lucratief gebleken voor cybercriminelen. Beveiligingsexperts voorspellen dan ook dat het aantal aanvallen in 2022 zal blijven stijgen. Bedrijven die afhankelijk zijn van platforms en diensten op verschillende niveaus van de supply chain, moeten hun huidige strategieën herzien en zich ervan bewust worden dat beveiliging niet stopt bij hun eigen netwerkgrens.

Gerelateerde artikelen

Twee derde werknemers gokt met security

Twee derde werknemers gokt met security

Ruim twee derde van Nederlandse werknemers brengt de organisatie bewust in gevaar, wat tot ransomware- of malware-infecties, datalekken of financieel verlies leidt. Meer dan vier op de vijf van de onderzochte organisaties maakte in 2023 ten minste één succesvolle aanval mee.

Overheid lanceert NIS2-Quickscan

Overheid lanceert NIS2-Quickscan

Op 29 februari heeft de Rijksoverheid de NIS2-Quickscan gelanceerd waarmee organisaties zich kunnen voorbereiden op de nieuwe Europese NIS2-richtlijn. Deze richtlijn is gericht op het vergroten van de digitale weerbaarheid van bedrijven en organisaties in de EU.

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De 27e PwC CEO Survey: het CEO-gevoel ontcijferd voor de CISO

De nieuwste editie van de jaarlijkse PwC CEO Survey biedt een kijkje in de hoofden van CEO’s van over de hele wereld. Verschillende inzichten laten belangrijke veranderingen zien die impact hebben op CISO’s en hun organisaties, die zich zullen moeten aanpassen om concurrerend en compliant te blijven.

Bestuur CISO Platform Nederland is compleet

Bestuur CISO Platform Nederland is compleet

Het bestuur van CISO Platform Nederland, de non-profit vereniging van de CISO community Nederland, is compleet: de CISO’s Dimitri van Zantvliet, Luisella ten Pierik, Mahdi Abdulrazak, Justin Broeders en mede-oprichter Rob Beijleveld zijn op 16 februari officieel toegetreden tot het bestuur van de organisatie.