Wanneer een cyberaanval de schappen leeghaalt: wat te doen tegen aanvallen op de toeleveringsketen

Wanneer een cyberaanval de schappen leeghaalt: wat te doen tegen aanvallen op de toeleveringsketen?

Door Danny Bradbury • 24 July 2025

Consumenten zien de meeste cyberaanvallen vaak als iets dat anderen overkomt, totdat ze er zelf direct last van hebben. De diefstal van e-mailadressen en andere persoonlijke gegevens is een alledaagse gebeurtenis geworden, maar wanneer een crimineel aan de andere kant van de wereld op een knop drukt en voedsel uit de schappen verdwijnt, wordt het ineens serieus.

Dat gebeurde in juni, toen een aanval op groothandelsdistributeur United Natural Foods (UNFI) de online activiteiten van het bedrijf platlegde. Door de aanval kon het bedrijf zijn 30,000 winkels niet meer bedienen, waardoor supermarkten... klanten waarschuwen voor voedseltekorten en veroorzaakte aanzienlijke verstoringen bij Whole Foods, dat eigendom is van Amazon. Hierbij hoorde ook de sluiting van broodjesstations.

Aanvallen zoals deze benadrukken de schade die een cyberincident kan aanrichten aan activiteiten die verder reiken dan één enkel bedrijf. Deze verstoringen kunnen gevolgen hebben voor anderen die ervan afhankelijk zijn als onderdeel van hun eigen toeleveringsketen, en het roept de vraag op: wat kunnen organisaties doen om zichzelf te beschermen?

Cyberrisico's in de toeleveringsketen bereiken crisisachtige proporties

Dit is niet de eerste aanval die we zien die de toeleveringsketens heeft verstoord. Verzekeringsmaatschappij Cowbell publiceerde een verslag eind vorig jaar lieten een stijging van 431% zien in aanvallen op de toeleveringsketen sinds 2021.

Volgens het rapport komen dergelijke aanvallen steeds vaker voor, omdat bedrijfsactiviteiten steeds meer met elkaar verbonden zijn en de toeleveringsketens complexer worden. Dit maakt ze moeilijker te beveiligen.

Een van de grootste uitdagingen voor organisaties is het single point of failure-probleem: één bedrijf waarvan vele anderen afhankelijk zijn voor producten en diensten, is een waardevol doelwit. Het succesvol in gevaar brengen ervan versterkt de effecten van één enkele aanval.

Verstoring door aanvallen op de toeleveringsketen kan puur digitaal zijn. De inbraak in de software van SolarWinds in 2020 maakte honderden systemen bij klanten van het bedrijf kwetsbaar voor informatiediefstal. Door misbruik te maken van een kwetsbaarheid in de on-premises versie van het MOVEit-bestandsuitwisselingssysteem in 2023 konden aanvallers bestanden van honderden klanten stelen. Beide hadden hetzelfde onderliggende kenmerk: toxines in een digitaal product (één opzettelijk geïntroduceerd, één per ongeluk gecodeerd) troffen duizenden klanten verderop in de keten.

Andere cyberaanvallen, zoals de hack bij UNFI, leiden tot fysieke problemen. Ze benadrukken de kwetsbaarheid van moderne just-in-time-toeleveringsketens, waardoor ze niet alleen een bedreiging vormen voor klantgegevens, maar ook een maatschappelijk risico vormen.

Opvallende incidenten uit het verleden die de fysieke toeleveringsketens hebben beïnvloed, zijn onder meer de aanval op de Colonial Pipeline in 2021. Hoewel deze aanval gericht was op het administratieve netwerk van het bedrijf, sloot het bedrijf uit voorzorg zijn benzineleveringsactiviteiten, wat leidde tot tekorten die miljoenen mensen troffen.

In datzelfde jaar trof een ransomware-aanval op softwareleverancier Kaseya voor extern beheer klanten die beheerde IT-diensten leverden. Dat sijpelde door naar klanten, waaronder de Zweedse supermarktketen Coop, die 800 winkels moest sluiten. Deze aanvallen waren weliswaar digitaal, maar het eindresultaat was kinetisch: in plaats van dat hun gegevens werden blootgesteld, konden mensen niet meer autorijden of eten.

Dit vereist een reactie op bestuursniveau

Risico's in de toeleveringsketen brengen nieuwe bestuursvereisten met zich mee, vooral nu toezichthouders de kwestie steeds meer onder de aandacht brengen. Zo is er bijvoorbeeld de EU Digital Operational Resilience Act (DORA) Stelt diverse eisen aan financiële dienstverleners. Het stelt strenge due diligence-eisen bij het werken met technologie- en dienstverleners, naast minimale beveiligingseisen in contracten. Overeenkomsten met leveranciers moeten ook verplichtingen bevatten tot continue beoordeling, die periodieke cybersecuritybeoordelingen van leveranciers afdwingen.

De richtlijn netwerk- en informatiebeveiliging 2 De NIS2-richtlijn stelt ook strengere veiligheidseisen aan toeleveringsketens.

Volgens Gartner zullen professionals in de toeleveringsketen steeds vaker cyberbeveiligingsrisico's als een belangrijke factor beschouwen bij het inschakelen van externe partners. verwacht 60% van hen doet dat dit jaar.

Deze zorgen maken leveranciersrisicomanagement een cruciaal onderdeel van elke strategie voor veerkracht in de toeleveringsketen. Effectieve due diligence betekent controleren of leveranciers beveiligingsmaatregelen hebben genomen. Bedrijven die geen due diligence hebben verplicht gesteld, doen er goed aan al hun leveranciers te controleren, idealiter op accreditatie volgens relevante cybersecuritykaders of -normen. Deze kunnen branchespecifiek zijn.

Zelfs na dit alles kunnen er nog aanvallen plaatsvinden. Door leveranciers die aan de eisen voldoen op een voorkeursleverancierslijst te plaatsen, minimaliseert u het risico dat uw toeleveringsketen door een inbreuk wordt verstoord; het zal dat risico echter niet volledig uitsluiten. Daarom is het belangrijk om voorbereid te zijn op mogelijke verstoringen.

Voorkom niet alleen, pas je aan

Afhankelijk van het type inbreuk kan een draaiboek voor het omgaan met aanvallen in de toeleveringsketen zich puur richten op logistiek en bedrijfsvoering, of het kan ook digitaal herstel omvatten. Als een leverancier van levensmiddelen uitvalt omdat zijn systeem is gecompromitteerd, wordt zijn digitale probleem het fysieke probleem van zijn klanten. Vervolgens ligt de focus van downstream-leveranciers op het voortzetten van de goederenstroom naar hun schappen.

Omgekeerd, als uw netwerkbeheerder per ongeluk malware downloadt op een van uw servers, dan wordt zijn digitale probleem uw digitale probleem. Dat vereist een andere aanpak.

ISO-normen hebben betrekking op de voorbereiding op dergelijke scenario's. Zo behandelt ISO 22301 de bedrijfscontinuïteit in het licht van risico's in de toeleveringsketen. ISO 27001 bevat maatregelen om informatierisico's te beheren die u kunnen treffen via inbreuken op de toeleveringsketen. ISO 28000 gaat over het verbeteren van de beveiliging van de toeleveringsketen.

Het beheersen van dit complexe, veelzijdige risico in de toeleveringsketen betekent dat u zoveel mogelijk preventieve controles moet uitvoeren om uzelf te beschermen door zorgvuldige leveranciers te kiezen. Maar het betekent ook dat u zich moet aanpassen aan opkomende problemen in plaats van te vertrouwen op preventie.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury