Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op bedrijven aantonen

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Door Nicholas Fearn • 27 November 2025

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering platleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak worden ze niet veroorzaakt door IT-kwetsbaarheden in de eigen IT-systemen van slachtoffers, maar door kwetsbaarheden in hun digitale toeleveringsketens.

Een recent voorbeeld hiervan is toen Jaguar Land Rover (JLR) te maken kreeg met een catastrofale cyberaanval, waarvan experts van het Cyber Monitoring Centre (CMC) schatten dat behandeld Een klap van £1.9 miljard voor de Britse economie als geheel. De autofabrikant moest de productie enkele weken stilleggen, waardoor de groei van de Britse auto-industrie stokte. Men vermoedt dat de onderlinge verbondenheid van Jaguar Land Rover's wereldwijde IT-infrastructuur, de integratie met operationele technologieën die fabrieken aandrijven en de afhankelijkheid van toeleveringssystemen hackers in staat stelden om snel te werken, terwijl het voor de IT-teams moeilijker werd om de aanval te isoleren.

Andere kostbare cyberaanvallen op de toeleveringsketen hadden dit jaar gevolgen voor Marks & Spencer (M&S) en Co-op. M&S nam een £ 300 miljoen een klap voor de winst, terwijl Co-op verwacht verlies te lijden £ 120 miljoen in de winst over het hele jaar. Beide incidenten leidden tot voorraadtekorten bij de retailers, wat de operationele verstoring benadrukt die hacks kunnen veroorzaken. Ze werden veroorzaakt door kwetsbaarheden bij een externe leverancier, die werden uitgebuit via social engineering.

Wat kunnen bedrijven anders doen om hun cyberdefensie en digitale toeleveringsketens te versterken, gezien de kwetsbaarheden in de toeleveringsketen en slechte IT-beheerpraktijken die bijdragen aan de cyberaanvallen van JLR, M&S en Co-op?

Een domino-effect

Moderne bedrijven zijn tegenwoordig sterk afhankelijk van een ecosysteem van verschillende platforms, software, applicaties en fysieke technologieën – allemaal geleverd door verschillende leveranciers – om te overleven. En wanneer cybercriminelen een deel daarvan binnendringen, zijn de gevolgen onvoorstelbaar en moeilijk te beheersen.

"Eén enkele gecompromitteerde afhankelijkheid veroorzaakt niet zomaar een technische storing van een dag", zegt Tom Finch, technisch leider bij containerbeveiligingssoftwareleverancier Chainguard. "Het zet een kettingreactie in gang van operationele verstoringen, noodpatchcycli, klantangst en wettelijke audits die weken en soms maanden duren om te herstellen."

Zodra deze kettingreactie op gang komt, worden verschillende bedrijfsonderdelen – allemaal met elkaar verbonden door software – snel getroffen. Pete Hannah, vicepresident West-Europa bij back-upopslagprovider Object First, legt uit dat één gecompromitteerde leverancier een domino-effect kan hebben op de gehele organisatie van het slachtoffer, met negatieve gevolgen voor "de bedrijfsvoering, levering, klantinteracties en financiële prestaties".

Hannah voegt eraan toe dat zelfs de kleinste uitval in de toeleveringsketen kan leiden tot "productievertragingen, contractuele boetes en klantverloop". En hoewel het herstel hiervan de financiën van een bedrijf hard kan treffen, gelooft hij dat de "erosie van vertrouwen nog veel langduriger kan zijn".

Zwakke digitale toeleveringsketens

Aanvallen op de toeleveringsketen zijn een veelvoorkomende bron van verstoring geworden in het huidige bedrijfsleven. De reden hiervoor zijn de "structurele" kwetsbaarheden die bestaan in digitale toeleveringsketens, aldus Pierre Noel, Field CISO EMEA bij Expel, leverancier van managed detection en response.

Hoewel bedrijven steeds meer vertrouwen op onderling afhankelijke systemen en technologieën, zegt Noel dat ze worden verzwakt door "onbekende of slecht gevalideerde beveiligingsmaatregelen" die momenteel in alle onderdelen van de digitale toeleveringsketen aanwezig zijn. Hij voegt eraan toe dat dit resulteert in een gebrek aan zichtbaarheid en verantwoording, waardoor aanvallen op de toeleveringsketen vaak lange tijd onopgemerkt blijven en niemand precies weet hoe ermee om te gaan of wie de schuldige is.

Dit gevoel wordt gedeeld door Finch van Chainguard, die softwaretoeleveringsketens omschrijft als "structureel kwetsbaar". Hij stelt dat een "blinde vlek voor beveiliging" ontstaat door de "onderlinge verbondenheid" van moderne software, die bestaat uit vele verschillende componenten die "door duizenden mensen worden gebouwd en onderhouden".

Naast een zwakke en gefragmenteerde softwaretoeleveringsketen waarschuwt Hannah van Object First dat veel organisaties de beveiliging van hun externe leveranciers niet regelmatig controleren. Tegelijkertijd, zegt hij, maken cybercriminelen routinematig misbruik van "software-updates, bevoorrechte toegang, inloggegevens van derden en configuratieafwijkingen" in hun zoektocht naar een ingang tot toeleveringsketens en, uiteraard, ondernemingen.

Hij vertelt IO: "Als bedrijven niet voortdurend de veerkracht van hun toeleveringsketen evalueren en testen, in plaats van te vertrouwen op periodieke nalevingscontroles, zullen dezelfde patronen van verstoring blijven bestaan."

Goed leveranciersmanagement is essentieel

Nu digitale toeleveringsketens kwetsbaarder zijn dan ooit, is het voor bedrijven een urgente kwestie geworden om hun leveranciers- en klantbeheer te verbeteren. Voor Hannah van Object First betekent dit dat ze verder moeten kijken dan leverancierscontracten en zich "op een gecoördineerde manier" moeten voorbereiden op aanvallen op de toeleveringsketen.

Om dit te bereiken, zegt hij, moeten organisaties nauw samenwerken met hun leveranciers bij het opstellen en handhaven van incidentresponsplannen. Tegelijkertijd moeten rollen en verantwoordelijkheden duidelijk zijn, zodat "herstel sneller verloopt en verstoringen beperkt blijven".

Een andere expert die het voordeel ziet van nauwe coördinatie tussen bedrijven en leveranciers bij het beperken van beveiligingsrisico's in de toeleveringsketen, is Finch van Chainguard. Hij stelt dat wanneer alle belanghebbenden binnen de toeleveringsketen samenwerken aan "rollen voor incidentrespons en communicatiepaden", organisaties sneller en nauwkeuriger op aanvallen kunnen reageren. Hij voegt eraan toe: "Samen verminderen deze praktijken de omvang en onzekerheid van incidenten lang voordat ze financiële of reputatieproblemen opleveren."

Beperkende maatregelen door verbeterde leverancierscoördinatie zijn echter niet alleen belangrijk. Bedrijven moeten zich ook voorbereiden op de ergste gevolgen van cyberaanvallen, namelijk een verlies aan vertrouwen bij klanten. Voor Noel van Expel betekent dit "duidelijke verantwoording, contractuele controle voor leveranciers met een hoger risico, transparante communicatie en gecoördineerde incidentrespons". Hij voegt eraan toe: "Klanten verwachten geen perfectie; ze verwachten snelheid, eerlijkheid en competentie."

Andere wijzigingen

Zijn er naast een gezond leveranciers- en klantbeheer nog andere veranderingen nodig? Voor Noel van Expel is het antwoord een volmondig ja – hij zegt dat organisaties de beveiliging van hun toeleveringsketen niet langer als een eenmalige oefening moeten beschouwen. Dat betekent dat "reactieve oplossingen" moeten worden vervangen door "proactief risicobeheer", waarbij CISO's nauw moeten samenwerken met leveranciers om digitale toeleveringsketens te versterken.

Finch van Chainguard is het met Noel eens en zegt dat organisaties en externe leveranciers de beveiliging van de toeleveringsketen moeten zien als een "gedeelde bedrijfsverantwoordelijkheid". Dit vereist dat bedrijfsleiders, compliance-experts en technologen bestaande silo's doorbreken en samenwerken, zodat toekomstige software "sneller, slimmer en meer samenwerkend dan ooit" is.

Hoewel het van cruciaal belang is om de beveiliging van de toeleveringsketen als een gedeelde verantwoordelijkheid te beschouwen om aanvallen te beperken en in te dammen, dringt Chris Binnie, een consultant voor cloudnative beveiliging uit Edinburgh, er bij leveranciers op aan om ervoor te zorgen dat ze "meer inzicht hebben in hun eigen toeleveringsketens" voordat ze producten leveren aan zakelijke klanten.

Om toekomstige aanvallen op de toeleveringsketen te beperken, zegt Diane Downie – senior softwarearchitect bij applicatiebeveiligingsspecialist Black Duck – dat organisaties "best practices moeten opstellen, altijd moeten volgen en continu moeten verbeteren". Het gebruik van zero-trustarchitectuur als een belangrijke best practice kan ook helpen, suggereert Hannah van Object First, door te beperken "hoe ver een aanvaller zich binnen een omgeving kan bewegen".

Het is niet meer dan terecht om te stellen dat aanvallen op de toeleveringsketen een groot probleem zijn geworden voor zowel bedrijven als hun leveranciers. Maar ze hoeven niet zo moeilijk te zijn om te beperken, te detecteren en in te dammen; bedrijven en leveranciers moeten zich er gewoon gezamenlijk voor inzetten om de beveiliging van de toeleveringsketen te beschouwen als een continue, gedeelde verantwoordelijkheid. In de praktijk betekent dit dat er duidelijke plannen, processen en verantwoordelijkheden moeten zijn om aanvallers buiten de deur te houden.

Natuurlijk zullen er, zelfs met de beste beveiliging, nog steeds gevallen zijn waarin aanvallers erin slagen de toeleveringsketen te doorbreken. Gecoördineerde incidentrespons is dan essentieel. En natuurlijk moeten bedrijven en hun partners transparant zijn tegenover klanten over wat er is gebeurd om hen te beschermen.

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 8 januari 2026

Het compliance-tijdperk: hoe regelgeving, technologie en risico's de normen in het bedrijfsleven herschrijven (blog)

Het tijdperk van compliance: hoe regelgeving, technologie en risico de normen in het bedrijfsleven herschrijven.

Compliance is voor de meeste bedrijfsleiders niet het meest aantrekkelijke aspect. Ze zien het misschien als een noodzaak om druk van de regelgeving te vermijden, maar toch...

Nicholas Fearn

Cyber security 4 September 2025

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft de voortdurende cyberbeveiligingsrisico's van hun bedrijf aan het licht gebracht.

Nicholas Fearn

Cyber security 16 July 2025

Wat hogere defensie-uitgaven betekenen voor de cybersecuritysector

Terwijl de geopolitieke spanningen wereldwijd blijven toenemen, hebben we in 2025 een dramatische stijging van de defensie-uitgaven gezien die we sinds de Koude Oorlog niet meer hebben gezien.

Nicholas Fearn