Wat hebben Marks & Spencer en Jaguar Land Rover (JLR) met elkaar gemeen? Beiden kregen dit jaar te maken met ernstige ransomware-inbreuken nadat cybercriminelen zich op leveranciers richtten. In het geval van M&S zou het gaan om de laptop van een Tata-contractant. JLR, het was een infostealer die gericht was op een werknemer van LG Electronics met toegang tot het netwerk van de autofabrikant.
Beide benadrukken de groeiende dreiging die vaak ondoorzichtige en kwetsbare afhankelijkheden in de toeleveringsketen vormen voor organisaties. Deze uitdaging zal naar verwachting alleen maar toenemen nu een nieuwe wereldwijde handelsoorlog bedrijven dwingt hun toeleveringsketens snel te herstructureren, met weinig tijd om nieuwe partners te screenen. Zoals nieuw onderzoek aantoont, valt er nog genoeg te verbeteren.
Een probleem in twee delen
Volgens het World Economic Forum (WEF) beschouwt meer dan de helft (54%) van de wereldwijde organisaties uitdagingen in de toeleveringsketen als hun grootste belemmering voor het bereiken van cyberweerbaarheid. "De toenemende complexiteit van toeleveringsketens, in combinatie met een gebrek aan zichtbaarheid en toezicht op de beveiligingsniveaus van leveranciers, is uitgegroeid tot het grootste cyberbeveiligingsrisico voor organisaties", aldus het rapport. rapporteer notities.
De uitdaging op het gebied van de beveiliging van de toeleveringsketen bestaat uit twee delen:
- Software die malware of kwetsbaarheden introduceert in vertrouwde omgevingen. Open-sourcecomponenten zijn hier met name schuldig aan, omdat ze vaak niet goed gedocumenteerd zijn, wat leidt tot beveiligingsproblemen. incidenten zoals Log4ShellMaar ze vormen niet het enige risico. Propriëtaire software zoals Verplaats het en GoAnywhere was in het verleden ook het doelwit van zero-day-exploits voor grootschalige gegevensdiefstal en afpersingscampagnes, met gevolgen voor miljoenen downstream-klanten.
- Een gecompromitteerde partner in de toeleveringsketen – zoals een MSP, een SaaS-provider of een professionele dienstverlener – kan aanzienlijke beveiligingsrisico's opleveren. Kwaadwillenden kunnen mogelijk rechtstreeks toegang krijgen tot de gegevens van een organisatie, mits deze door de partner zijn opgeslagen, of via de leverancier inloggegevens verkrijgen voor het netwerk/de cloudaccounts van de organisatie. Ze kunnen leveranciers ook aanvallen met ransomware, wat een verwoestende impact kan hebben op de gehele toeleveringsketen, aldus de Synnovis NHS-aanval.
Helaas benadrukken twee recent gepubliceerde rapporten de blijvende uitdagingen van het beperken van risico's in de toeleveringsketen. LevelBlue-studie Uit onderzoek blijkt dat van de organisaties die zeggen "zeer weinig inzicht" te hebben in de softwaretoeleveringsketen, 80% in de afgelopen 12 maanden te maken heeft gehad met een beveiligingsinbreuk. Dit in vergelijking met slechts 6% die beweert "zeer veel inzicht" te hebben.
Afzonderlijk, Risicogrootboekrapporten Bijna de helft (46%) van de Britse organisaties heeft het afgelopen jaar minstens twee cyberincidenten in hun toeleveringsketen meegemaakt. Uit het rapport blijkt ook dat 90% van de respondenten cyberincidenten in de toeleveringsketen als een belangrijke zorg voor 2025 beschouwt, en slechts twee vijfde (37%) omschrijft hun risicomanagement door derden als "zeer effectief".
Toezichthouders willen actie
Volgens LevelBlue maken CEO's zich over het algemeen meer zorgen over risico's in de toeleveringsketen dan hun collega's in de directie: 40% noemt dit het grootste beveiligingsrisico binnen de organisatie, tegenover een veel kleiner aantal CIO's (29%) en CTO's (27%). Dit betekent vermoedelijk extra druk van bovenaf op CISO's en hun teams. Maar de waarheid is dat ze al onder extreme druk staan om te voldoen aan een nieuwe reeks regelgevingen die gericht zijn op leveranciersrisico's. Deze omvatten:
DORA: DORA schrijft onder andere voor dat financiële instellingen het risico van externe IT-leveranciers moeten beheren als een integraal onderdeel van het algehele IT-risicomanagement, onder toezicht van de raad van bestuur. Ze moeten ook een gedetailleerd, actueel register bijhouden met informatie over alle contracten met deze leveranciers en grondige due diligence uitvoeren op nieuwe leveranciers.
NIS 2: Vereist dat alle organisaties binnen het toepassingsgebied een beleid voor risicomanagement in de toeleveringsketen hebben en de kwetsbaarheden specifiek voor elke directe leverancier en dienstverlener beoordelen. Senior directeuren en leidinggevenden zijn rechtstreeks verantwoordelijk voor het toezicht hierop.
Wetsvoorstel Cyberveiligheid en Veerkracht: De Britse update van de NIS vereist dat gereguleerde organisaties onder andere de relaties met leveranciers beoordelen en versterken, een robuust risicomanagement voor derden implementeren en beveiligingsverwachtingen in contracten vastleggen.
Actie ondernemen
Theresa Lanowitz, Chief Evangelist bij LevelBlue, stelt dat zichtbaarheid prioriteit moet krijgen als het gaat om de softwaretoeleveringsketen – “vooral omdat toeleveringsketens in omvang en complexiteit toenemen en organisaties steeds meer AI-gestuurde oplossingen implementeren”.
Ze vertelt ISMS.online: "CISO's moeten zich richten op vier belangrijke acties: het bewustzijn binnen de directie vergroten om resources te beveiligen, intern samenwerken om de grootste kwetsbaarheden te identificeren, investeren in proactieve beveiligingsmaatregelen en regelmatig de cybersecuritypraktijken van leveranciers beoordelen. Deze evenwichtige, proactieve aanpak zal de zichtbaarheid, paraatheid en verantwoordingsplicht in de hele toeleveringsketen versterken."
Justin Kuruvilla, hoofd cybersecuritystrateeg bij Risk Ledger, vertelt ISMS.online dat organisaties een 'aanvaard een inbreuk'-mentaliteit moeten aannemen en hun beveiligingsinfrastructuur zo moeten inrichten dat kwaadaardige activiteiten worden ingedamd en beperkt.
"Het is daarom essentieel om inzicht te krijgen in relaties met derde, vierde en zelfs negende partijen. Deze bredere kijk helpt beveiligingsleiders een nauwkeuriger inzicht te krijgen in hun blootstelling en mitigatie-inspanningen te prioriteren waar ze het meest relevant zijn", voegt hij eraan toe.
Kuruvilla betoogt dat softwaretoeleveringsketens bijzondere aandacht vereisen, gezien de mogelijke impact van kwetsbaarheden in veelgebruikte code.
"Organisaties moeten van leveranciers verwachten dat ze veilige ontwikkelpraktijken hanteren die aansluiten bij door de branche erkende raamwerken", voegt hij eraan toe. "De mate van due diligence kan variëren, afhankelijk van de criticaliteit van de leverancier en de risicobereidheid van de organisatie. Maar het zou elementen van veilige softwareontwikkeling moeten omvatten, zoals CI/CD-praktijken, kwetsbaarheidsbeheer en het opstellen van een Software Bill of Materials (SBOM)."
Hoe ISO 27001 kan helpen
Lanowitz van LevelBlue betoogt dat best practice-normen zoals ISO 27001 een nuttige basis kunnen vormen voor het verbeteren van de beveiliging van de toeleveringsketen.
"Omdat organisaties worstelen met een gefragmenteerd risicozicht en inconsistente praktijken, kan ISO 27001 helpen bij het verenigen en vereenvoudigen van compliance-inspanningen in alle regio's en sectoren. Door de norm te benutten, kunnen CISO's een gestructureerde aanpak volgen voor risicomanagement en continue verbetering", voegt ze eraan toe.
Omdat veel regelgevingen dezelfde kernbest practices delen – waaronder risicobeoordelingen, toegangscontrole, leverancierscontrole en planning van incidentrespons – kan de implementatie van ISO 27001 ook de nalevingsredundantie verminderen.
Kuruvilla van Risk Ledger is het daarmee eens, hoewel hij waarschuwt tegen het naleven van 'vink-hokjes'.
Organisaties die prioriteit geven aan een robuuste, op risico's gebaseerde aanpak voor het beheer van cyberrisico's, bereiken doorgaans op natuurlijke wijze naleving van de regelgeving, concludeert hij.
