Stel je een reeks Nederlandse bedrijven voor die samenwerken om jou die gloednieuwe fiets te bezorgen. Van ontwerpers tot fabrikanten, transporteurs en monteurs: ze vormen allemaal een schakel in de toeleveringsketen.
In plaats van een directe aanval op grote organisaties, richten hackers hun pijlen steeds vaker op zwakke plekken in de toeleveringsketen. Zo kunnen ze malware verstoppen in software die door de hele keten wordt gebruikt, of hardware manipuleren tijdens de productie. Eens binnen, kunnen ze data stelen, systemen saboteren of zelfs geld aftroggelen.
In 2017 werd de Rotterdamse haven getroffen door een cyberaanval die waarschijnlijk via een gecompromitteerde terminal binnenkwam. De haven, die normaal gesproken duizenden containers per dag verwerkt, lag compleet stil, met grote logistieke problemen als gevolg. Schepen moesten uitwijken naar andere havens, vrachtwagens konden hun goederen niet kwijt en de totale schade liep al snel op tot in de miljoenen euro’s.
Een ander recent voorbeeld is de aanval op MOVEit, een softwarebedrijf dat door veel Nederlandse organisaties wordt gebruikt. Hackers kregen toegang tot MOVEit’s software en konden zo malware installeren bij hun klanten. Dit had een grote impact op bedrijven in verschillende sectoren, waaronder de zorg en het onderwijs.
Waarom zijn supply chain-aanvallen zo aantrekkelijk voor hackers?
De supply chain is een ware delicatesse voor hackers. De aantrekkingskracht ervan is te wijten aan een aantal factoren die ze tot een lucratieve en efficiënte manier maken om organisaties grote schade toe te brengen.
Ten eerste vergroot een succesvolle aanval op één schakel in de toeleveringsketen de impact exponentieel. In plaats van één doelwit te treffen, kan een hacker toegang krijgen tot de systemen van talloze organisaties die allemaal van dezelfde leverancier afhankelijk zijn. Dit vergroot de potentiële schade enorm, met minimale inspanning voor de aanvaller.
Hackers spelen daarnaast in op het vertrouwen dat bedrijven in hun leveranciers stellen. Bedrijven delen gevoelige data, installeren software en hardware van leveranciers en gaan er vaak vanuit dat deze betrouwbaar zijn. Hackers verstoppen zich in deze vertrouwde relaties en systemen, waardoor ze zich ongemerkt toegang verschaffen tot gebieden die anders goed beveiligd zijn.
Daarbij komt nog dat veel leveranciers, met name kleinere, minder aandacht besteden aan IT-beveiliging. Beperkte budgetten, minder kennis en focus op andere gebieden maken ze een kwetsbaarder doelwit. Hackers weten dit en richten zich liever op deze zwakkere schakels in de toeleveringsketen.
Eenmaal binnen de toeleveringsketen, verborgen in de complexe en gefragmenteerde structuur, kunnen hackers zich lang onopgemerkt verschuilen. De kans dat verdachte activiteiten worden herkend is klein, waardoor ze alle tijd hebben om hun schade aan te richten en data te stelen.
Hoe kunnen we ons hiertegen beschermen?
1. Risicobewustzijn vergroten
Het is essentieel dat alle medewerkers binnen een organisatie zich bewust zijn van de risico’s van supply chain-aanvallen. Dit omvat het begrijpen van de verschillende soorten aanvallen, hoe ze kunnen worden uitgevoerd en de potentiële impact op de organisatie. Trainingen en bewustwordingscampagnes kunnen helpen om het risicobesef te vergroten en medewerkers te leren verdachte activiteiten te herkennen en te melden.
Samenwerking kunnen organisaties helpen om op de hoogte te blijven van de nieuwste bedreigingen en best practices te delen. Organisaties kunnen ook informatie over cyberaanvallen delen met elkaar, wat kan helpen om toekomstige aanvallen te voorkomen.
2. Beveiligingsmaatregelen voor leveranciers implementeren
Organisaties moeten eisen stellen aan hun leveranciers met betrekking tot hun beveiligingsmaatregelen. Dit omvat het uitvoeren van due diligence-beoordelingen, het eisen van naleving van relevante beveiligingsstandaarden en het regelmatig controleren van de naleving. Organisaties kunnen ook samenwerken met hun leveranciers om beveiligingsbest practices te delen en gezamenlijke risicobeoordelingen uit te voeren.
Ook de Nederlandse overheid is zich bewust van de risico’s van supply chain-aanvallen. In de komende wetgeving, zoals NIS2 en DORA, wordt meer aandacht besteed aan IT-beveiliging in kritieke sectoren.
3. Zero Trust Architecture (ZTA) overwegen
ZTA is een beveiligingsmodel dat ervan uitgaat dat niemand binnen de netwerkgrenzen automatisch vertrouwd kan worden. Alle gebruikers en apparaten, ongeacht of ze binnen of buiten de organisatie zijn, moeten zich continu verifiëren en autoriseren om toegang te krijgen tot resources. ZTA kan helpen om de toegang tot gevoelige data te beperken, verdachte activiteiten te detecteren en de impact van aanvallen te beperken.
Toegang tot data en systemen wordt verleend op basis van de rol van de gebruiker, niet op basis van de locatie binnen het netwerk. Daarnaast word een netwerk opgedeeld in kleinere segmenten, waardoor de laterale verspreiding van malware wordt beperkt.
4. Continue monitoring en incidentrespons
Het is belangrijk om netwerkverkeer en systemen continu te controleren op verdachte activiteiten. Dit kan helpen om aanvallen in een vroeg stadium te detecteren en de schade te beperken.
Om de bedreigingen effectief te kunnen bestrijden, is een robuust incidentresponsplan (IRP) cruciaal. Dit plan dient als leidraad voor organisaties om snel en gestructureerd te reageren op cyberaanvallen, de schade te beperken en de normale bedrijfsvoering zo spoedig mogelijk te herstellen.
5. Leren, investeren en aanpassen
De cyberbedreigingslandschap verandert voortdurend, dus het is belangrijk dat organisaties hun beveiligingsmaatregelen voortdurend evalueren en aanpassen. Organisaties moeten op de hoogte blijven van nieuwe bedreigingen en kwetsbaarheden en hun beveiligingsmaatregelen op korte termijn kunnen bijwerken.
Het is belangrijk om te investeren in gekwalificeerde cybersecurity-professionals die de organisatie kunnen helpen om haar beveiligingsrisico’s te beheren en te verminderen.
Gedeelde verantwoordelijkheid
Geen enkele partij in de supply chain kan de verantwoordelijkheid voor beveiliging alleen dragen. Het is een gedeelde inspanning die vereist dat alle schakels in de keten samenwerken en hun verantwoordelijkheden nakomen:
- Organisaties: Organisaties moeten proactieve maatregelen nemen om hun eigen IT-infrastructuur te beschermen, strenge due diligence-onderzoeken uitvoeren bij het selecteren van leveranciers, en duidelijke beveiligingscontracten opstellen met leveranciers.
- Leveranciers: Leveranciers hebben de verantwoordelijkheid om adequate beveiligingsmaatregelen te implementeren om de data en systemen van hun klanten te beschermen, transparant te zijn over hun beveiligingsrisico’s, en te voldoen aan de eisen van hun klanten.
- Technologiebedrijven: Technologiebedrijven die beveiligingsoplossingen en -services aanbieden, spelen een cruciale rol bij het ontwikkelen en innoveren van geavanceerde technologieën om supply chain-aanvallen te detecteren, te voorkomen en erop te reageren.
- Overheden: Overheden kunnen wet- en regelgeving implementeren om minimale beveiligingsnormen te definiëren, samenwerking tussen bedrijven te bevorderen, en cybercriminaliteit te bestrijden.
In de moderne, interconnected wereld zijn supply chains complexer dan ooit tevoren. Dit biedt organisaties enorme voordelen in efficiëntie en schaalvergroting, maar maakt ze ook kwetsbaarder voor cyberaanvallen. Beveiligingsproblemen in de supply chain kunnen verwoestende gevolgen hebben voor organisaties van alle soorten en maten.
Daarom is het belangrijk dat alle betrokkenen in de toeleveringsketen samenwerken om deze bedreigingen te bestrijden en een robuuste keten op te bouwen.
