De risico's in kaart brengen: NCSC's richtlijnen voor supply chain-beveiliging

Door John Leyden • 11 July 2023

Cyberaanvallen die de toeleveringsketen van een organisatie beïnvloeden – in plaats van de organisatie rechtstreeks – worden steeds gebruikelijker.

Als uw leverancier wordt gehackt, lopen de activa van een organisatie gevaar. Met dit in gedachten hebben aanvallers de tactiek overgenomen om aanvallen uit te voeren via de softwaretoeleveringsketen. Als eerder gemeld, een vorm van aanval die voor het eerst op de voorgrond kwam met de NotPetya-ransomware-aanval van 2017 en de SolarWinds-inbreuk van 2020, wordt een plaag voor de bedrijfsveiligheid.

De misbruik van een kwetsbaarheid in de MOVEit-software voor bestandsoverdracht Het stelen van gegevens en het proberen af te persen van betalingen van gebruikers van de technologie illustreert hoe aanvallen op de toeleveringsketen worden gebruikt als aanvalsvector door zowel cybercriminelen als natiestaten.

Commerciële softwarepakketten, open-sourcecomponenten en elementen van cloudtechnologie lopen allemaal gevaar door aanvallen op de toeleveringsketen.

De doelstellingen van supply chain-aanvallen kunnen variëren van sabotage tot de verspreiding van malware, ransomware en zelfs cyberspionage. Een keten is slechts zo sterk als de zwakste component ervan, en problemen kunnen zowel ontstaan bij leveranciers van technologie aan de leveranciers van een organisatie als bij leveranciers waarmee iemand een directe zakelijke relatie heeft, waardoor het beeld nog ingewikkelder wordt.

Afhankelijkheden van de toeleveringsketen

In het jaarverslag 2022 van het Britse National Cyber Security Centre (NCSC) wordt de beveiliging van de toeleveringsketen genoemd als een belangrijke “toekomstige dreigingsuitdaging”. Het NCSC volgde die waarschuwing eerder dit jaar met richtlijnen over hoe organisaties hun supply chain-risico's in kaart kunnen brengen.

De leidraad, gericht op middelgrote tot grote organisaties, biedt praktische stappen om de cyberveiligheid in toeleveringsketens beter te beoordelen. Dat is een uitdagende opgave, zo onderkent het NCSC.

“Toeleveringsketens zijn vaak groot en complex, en het effectief beveiligen van de toeleveringsketen kan moeilijk zijn omdat kwetsbaarheden inherent kunnen zijn, geïntroduceerd of uitgebuit kunnen worden op elk punt binnen de toeleveringsketen”, legt het Information Assurance Agency van de Britse overheid uit.

De lastige taak om de afhankelijkheden van de toeleveringsketen in kaart te brengen, kan worden aangepakt door deze op te delen in beheersbare delen, waaronder:

Welk product of welke dienst wordt geleverd, door wie, en het belang van dat bezit voor een organisatie
Een inventarisatie van leveranciers en hun onderaannemers, waaruit blijkt hoe zij met elkaar verbonden zijn

Assurantie-experts hebben de kaartadviesrichtlijnen van het NCSC verwelkomd.

Piers Wilson, directeur van het Chartered Institute of Information Security (CIISec), vertelde ISMS.online: “De NCSC-richtlijnen benadrukken de noodzaak om leveranciers en hun individuele risico’s op alle niveaus van de keten te identificeren en te begrijpen. Met sommige leveranciers kunt u gegevens delen, terwijl andere uw gegevens niet aanraken terwijl ze cruciale ondersteuning bieden. Hoe dan ook vergroten deze allemaal het potentiële aanvalsoppervlak.”

Wilson vervolgde: “Dan zijn er systeemrisico’s van bijvoorbeeld cloud- of managed service providers die niet alleen uw bedrijf kunnen ondersteunen, maar ook andere organisaties waarop u vertrouwt.”

Een deel van het proces omvat het in kaart brengen van afhankelijkheden, een proces dat lijkt op het inventariseren van activa. Wilson legde uit: “De beoordelings- en auditprocessen die worden gebruikt om de toeleveringsketen in kaart te brengen, moeten geschikt zijn voor hun doel, herhaalbaar zijn en aan de zakelijke behoeften voldoen. Ze moeten ook de nodige informatie verstrekken over risico’s, de status van de cyberhygiëne en het bredere aanvalsoppervlak. De begeleiding van het NCSC is een stap in de richting hiervan.”

De risico’s voor de toeleveringsketen zijn naar voren gekomen als een cruciale uitdaging ISMS.online's recente State of Information Security-rapport. In een onderzoek onder 500 senior professionals op het gebied van informatiebeveiliging noemde 30% van de respondenten het beheersen van risico's van leveranciers en derden als een “belangrijkste uitdaging op het gebied van informatiebeveiliging”. Ruim de helft (57%) van de ondervraagde organisaties heeft te maken gehad met een inbreuk als gevolg van een inbreuk op de toeleveringsketen.

Overbelasten

CIISec waarschuwde dat het in kaart brengen van de toeleveringsketen waarschijnlijk een grotere druk zou leggen op de toch al onder druk staande beveiligingsteams.

Wilson van CIISec merkte op: “Het volgen van de NCSC- en ISO-richtlijnen zal beveiligingsteams helpen bij het identificeren van de meest efficiënte en effectieve manier om hun toeleveringsketens in kaart te brengen en te beschermen. Maar daarnaast moet de industrie blijven investeren in training en het aantrekken van vers bloed, zodat teams de vaardigheden en ondersteuning krijgen die ze nodig hebben en niet opbranden.”

Eshet opstellen van een raamwerk

ISO 27001 is een internationale norm voor managementsystemen voor informatiebeveiliging. Het raamwerk biedt richtlijnen voor het handhaven van de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens.

De best practice-benadering van de informatiebeveiligingsstandaard helpt organisaties hun informatiebeveiliging te beheren met aanbevelingen die betrekking hebben op mensen, processen en technologie.

In het kaartadvies van het NCSC wordt het eigen advies vermeld Cyberbenodigdheden en ISO- en productcertificeringen als hulpmiddelen die het in kaart brengen van de toeleveringsketen helpen.

Luke Dash, hoofddirecteur van ISMS.online, zei dat organisaties met hun leveranciers moeten samenwerken in een gezamenlijke inspanning om de risico's van de toeleveringsketen in kaart te brengen, met behulp van ISO 27001 als leidraad. “ISO 27001, bekend om zijn alomvattende aanpak voor het beheren van informatiebeveiligingsrisico's, vormt een perfecte aanvulling op het advies van het NCSC over het in kaart brengen van de toeleveringsketen door een robuust raamwerk te bieden voor organisaties die hun digitale activa willen beschermen”, legt Dash uit. “Beide entiteiten geven prioriteit aan de stap van kritische risicobeoordeling, waarbij ze de noodzaak benadrukken voor organisaties om risico’s te identificeren en te evalueren die verband houden met hun informatiemiddelen en toeleveringsketens.

Dash voegde hieraan toe: “Door een gezamenlijk risicobeoordelingstraject uit te voeren, kunnen organisaties potentiële kwetsbaarheden volledig begrijpen, waardoor ze in staat worden gesteld gerichte beveiligingsmaatregelen te implementeren.”

Een deel van het risicobeheerproces omvat het meten van de beveiligingsvolwassenheid van leveranciers voordat deze gegevens worden gebruikt om inkoopbeslissingen te onderbouwen. Dash van ISMS.online legt uit: “Het advies van het NCSC voor het in kaart brengen van de toeleveringsketen benadrukt het belang van het beoordelen van de beveiligingspraktijken van leveranciers, inclusief hun begrip van opkomende bedreigingen en incidentresponsmogelijkheden. Door deze criteria te harmoniseren kunnen organisaties weloverwogen beslissingen nemen en leveranciers selecteren met robuuste beveiligingsmaatregelen die aansluiten bij hun strenge normen.”

Contractuele overeenkomsten spelen ook een essentiële rol bij het creëren van een samenhangend kader. “ISO 27001 benadrukt het belang van het opstellen van duidelijke overeenkomsten waarin de verantwoordelijkheden op het gebied van informatiebeveiliging en de verwachtingen van leveranciers worden gedefinieerd”, aldus Dash van ISMS.online. “In perfecte afstemming moedigt het NCSC’s supply chain mapping-advies organisaties aan om beveiligingsvereisten op te nemen in contractuele regelingen, waardoor de naleving van strenge veiligheidsnormen in de hele supply chain wordt gegarandeerd.”

Continue monitoring en evaluatie zijn essentiële componenten in zowel het supply chain mapping-advies van het NCSC als in ISO 27001, waardoor de complementaire raamwerken naast elkaar kunnen worden toegepast.“De nadruk van ISO 27001 op continue verbetering sluit naadloos aan bij de aanbeveling van het NCSC voor een regelmatige herbeoordeling van supply chain-risico's en periodieke beoordelingen van leveranciersbeveiligingspraktijken”, concludeerde Dash van ISMS.online.

“Door deze gedeelde aanpak te hanteren blijven organisaties wendbaar, pakken ze opkomende bedreigingen proactief aan en zorgen ze voor de voortdurende veiligheid van hun toeleveringsketens.”

Vereenvoudig vandaag nog uw supply chain-beheer

Ontdek hoe onze ISMS-oplossing een eenvoudige, veilige en duurzame benadering van supply chain management en informatiebeheer mogelijk maakt met ISO 27001 en meer dan 50 andere raamwerken.

Ik wil meer weten!

John Leiden

John Leyden schrijft al meer dan twintig jaar over computernetwerken en cyberbeveiliging. Vóór de komst van internet werkte hij als misdaadverslaggever bij een plaatselijke krant in Manchester. John heeft een diploma in elektronica behaald aan City, University of London.

Lees meer van John Leyden

Data Privacy 22 augustus 2024

bedrijven worden aangespoord om de 'snel evoluerende' ai-regelgeving te volgen

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Kunstmatige intelligentie (AI) transformeert de informatietechnologiesector in een duizelingwekkend tempo. AI heeft toepassingen getransformeerd, waaronder data...

John Leiden

Cyber security 20 juni 2024

waarom leveranciers moeite kunnen hebben om het ‘secure by design’-momentumbanner in stand te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Tientallen technologieleveranciers hebben zich aangesloten bij de door de Amerikaanse overheid gesteunde Secure by Design-belofte. Maar zal deze belofte een breuk met het verleden betekenen?

John Leiden

Cyber security 28 May 2024

het decoderen van de nieuwe richtlijnen van de ncsc voor in de cloud gehoste scada-banner

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA

Systemen voor operationele technologie (OT) bewaken en besturen automatisch processen en apparatuur die van alles aansturen, van energiecentrales tot slimme ziekenhuizen.

John Leiden

De risico's in kaart brengen: NCSC's richtlijnen voor supply chain-beveiliging

Afhankelijkheden van de toeleveringsketen

Overbelasten

Eshet opstellen van een raamwerk

Vereenvoudig vandaag nog uw supply chain-beheer

John Leiden

Gerelateerde artikelen

Continue controle eenvoudig gemaakt: Intune en Entra nu in IO

ISMS.online Platform Update: Nieuwe tools om uw naleving van informatiebeveiliging te verbeteren

Een mijlpaal die het vieren waard is: 45,000 actieve gebruikers vertrouwen op ISMS.online

Lees meer van John Leyden

Bedrijven worden aangespoord om de 'snel evoluerende' AI-regelgeving in de gaten te houden

Waarom leveranciers moeite kunnen hebben om het ‘Secure by Design’-momentum te behouden

Decodering van de nieuwe richtlijnen van het NCSC voor cloud-hosted SCADA