De wereld is gebouwd op supply chains. Ze vormen een verbindende factor dat wereldwijde handel en welvaart mogelijk maakt. Maar deze netwerken van overlappende en onderling verbonden bedrijven worden steeds complexer en ondoorzichtiger. De meeste hebben te maken met de levering van software en digitale diensten, of zijn op zijn minst op de een of andere manier afhankelijk van online interacties. Daardoor lopen ze risico op verstoring en inbreuk.
Vooral SMB’s zijn misschien niet proactief op zoek naar het beheren van de beveiliging van hun supply chain. Maar blindelings vertrouwen op je partners en leveranciers op het gebied van cyberbeveiliging is in het huidige klimaat niet houdbaar. Sterker nog, het is tijd om serieus werk te maken van het beheren van risico's in de supply chain.
Wat is een risico voor de supply chain?
Cyberrisico's in de supply chain kunnen vele vormen aannemen, van ransomware en gegevensdiefstal tot DDoS (denial of service) en fraude. Ze kunnen van invloed zijn op traditionele leveranciers zoals professionele dienstverleners, zoals advocaten en accountant, of leveranciers van bedrijfssoftware. Aanvallers kunnen het ook gemunt hebben op managed service providers (MSP's), Door op deze manier één bedrijf aan te vallen, kunnen ze toegang krijgen tot een potentieel groot aantal downstream klanten. Uit onderzoek van vorig jaar bleek dat 90% van de MSP's in de voorgaande 18 maanden te maken had gehad met een cyberaanval.
Hier volgen enkele van de belangrijkste soorten cyberaanvallen op de supply chain en hoe ze plaatsvinden:
Gecompromitteerde bedrijfseigen software:
Cybercriminelen worden steeds brutaler. In sommige gevallen zijn ze erin geslaagd een manier te vinden om softwareontwikkelaars te compromitteren en malware in code te plaatsen die vervolgens aan downstream klanten wordt geleverd. Dit is wat er gebeurde in de Kaseya ransomware campagne. In een recenter geval werd populaire bestandsoverdrachtsoftware MOVEit gecompromitteerd door een zero-day kwetsbaarheid en werden gegevens gestolen van honderden zakelijke gebruikers, waardoor miljoenen van hun klanten werden getroffen. Ondertussen ging de compromittering van de 3CX-communicatiesoftware de geschiedenis in als het allereerste publiekelijk gedocumenteerde incident waarbij de ene supply chain-aanval leidde tot de andere.
Aanvallen op open-source supply chains:
De meeste ontwikkelaars gebruiken open source componenten om hun softwareprojecten sneller op de markt te kunnen brengen. Maar dreigingsactoren weten dit en zijn begonnen met het invoegen van malware in componenten en deze beschikbaar te stellen in populaire repositories. In een rapport wordt beweerd dat het aantal van dergelijke aanvallen van jaar tot jaar met 633% is toegenomen. Dreigende actoren maken ook snel gebruik van kwetsbaarheden in open source code die sommige gebruikers niet snel repareren. Dit is wat er gebeurde toen er een kritieke bug werd gevonden in een bijna alledaagse tool die bekend staat als Log4j.
Zich voordoen als leveranciers voor fraude:
Bij geraffineerde aanvallen die bekend staan als BEC (Business Email Compromittering), doen fraudeurs zich soms voor als leveranciers om een klant geld te laten overmaken. De aanvaller kaapt meestal een e-mailaccount van de ene of de andere partij en controleert de e-mailstromen totdat de tijd rijp is om in te grijpen en een valse factuur met gewijzigde bankgegevens te versturen.
Diefstal van referenties: Aanvallers stelen de inloggegevens van leveranciers in een poging inbreuk te plegen op de leverancier of hun klanten (tot wiens netwerken ze mogelijk toegang hebben). Dit is wat er gebeurde bij de massale inbraak bij Target in 2013 toen hackers de inloggegevens van een van de HVAC-leveranciers van de retailer stalen.
Gegevensdiefstal: Veel leveranciers slaan gevoelige gegevens op van hun klanten, vooral bedrijven zoals advocatenkantoren die toegang hebben tot intieme bedrijfsgeheimen. Ze vormen een aantrekkelijk doelwit voor kwaadwillenden die op zoek zijn naar informatie die ze via afpersing of andere middelen kunnen verzilveren.
Hoe beoordeel en beperk je leveranciersrisico's?
Wat het specifieke type risico in de supply chain ook is, het eindresultaat kan hetzelfde zijn: financiële en reputatieschade en het risico op rechtszaken, operationele onderbrekingen, omzetverlies en boze klanten. Toch is het mogelijk om deze risico's te beheersen door een aantal best practices uit de sector te volgen. Hier zijn acht ideeën:
1: Voer due diligence uit op elke nieuwe leverancier
Dat betekent dat je moet controleren of hun beveiligingsprogramma overeenkomt met jouw verwachtingen en of ze over basismaatregelen beschikken voor bescherming tegen dreigingen, detectie en response. Bij softwareleveranciers moet ook worden nagegaan of ze een programma voor kwetsbaarhedenbeheer hebben en wat hun reputatie is met betrekking tot de kwaliteit van hun producten.
2: Open source risico's beheren.
Dit kan het gebruik van SCA-tools (Software Composition Analysis) betekenen om inzicht te krijgen in softwarecomponenten, naast het continu scannen op kwetsbaarheden en malware en het snel patchen van bugs. Zorg er ook voor dat teams van ontwikkelaars het belang inzien van 'security by design' bij het ontwikkelen van producten.
3: Voer een risicobeoordeling uit van alle leveranciers.
Dit begint met het begrijpen wie jouw leveranciers zijn en vervolgens te controleren of ze over de basisbeveiligingsmaatregelen beschikken. Dit moet zich uitstrekken tot hun eigen supply chains. Voer regelmatig audits uit en controleer waar nodig of ze voldoen aan de industrienormen en voorschriften.
4: Houd een lijst bij van al jouw goedgekeurde leveranciers en werk deze regelmatig bij aan de hand van de resultaten van jouw audits.
Het regelmatig auditen en bijwerken van de leverancierslijst stelt organisaties in staat om grondige risicobeoordelingen uit te voeren, mogelijke kwetsbaarheden te identificeren en ervoor te zorgen dat leveranciers zich houden aan de cyberbeveiligingsnormen.
5: Stel een formeel beleid op voor leveranciers.
Hierin moeten jouw vereisten voor het beperken van leveranciersrisico's worden beschreven, inclusief eventuele SLA's waaraan moet worden voldaan. Als zodanig dient het als een basisdocument met verwachtingen, normen en procedures waaraan leveranciers zich moeten houden om de beveiliging van de algehele supply chain te waarborgen.
6: Beheer de toegangsrisico's van leveranciers.
Dwing het principe van de minste privileges af bij leveranciers, als zij toegang tot het bedrijfsnetwerk nodig hebben. Dit kan worden geïmplementeerd als onderdeel van een Zero Trust-aanpak, waarbij alle gebruikers en apparaten niet worden vertrouwd totdat ze zijn geverifieerd, waarbij voortdurende authenticatie en netwerkbewaking een extra laag van risicobeperking toevoegen.
7: Ontwikkel een incident response plan.
Zorg in het ergste geval voor een goed voorbereid plan om de dreiging in te dammen voordat deze de organisatie kan beïnvloeden. Dit omvat ook hoe je contact kunt leggen met teams die voor jouw leveranciers werken.
8: Overweeg om industriestandaarden te implementeren.
ISO 27001 en ISO 28000 hebben veel nuttige manieren om een aantal van de bovenstaande stappen te bereiken om het leveranciersrisico te minimaliseren.
Volgens een rapport waren er vorig jaar in de VS 40% meer aanvallen op de supply chain dan aanvallen op basis van malware. Dit resulteerde in inbreuken die gevolgen hadden voor meer dan 10 miljoen personen. Het is tijd om de controle terug te nemen door middel van een effectiever beheer van leveranciersrisico's.