Eind 2022 werden wij gevraagd om de belangrijkste cybertrends waarvan we verwachtten dat ze in 2023 de krantenkoppen zouden domineren, en we hebben de toeleveringsketen onder de aandacht gebracht. En jongen, hadden we gelijk? De afgelopen drie maanden is de veiligheid van de toeleveringsketen in de schijnwerpers komen te staan, en wel om de verkeerde redenen.

In maart werd IT-outsourcinggigant Capita kreeg te maken met een ransomware-inbreuk, met gevolgen voor veel klanten uit de overheid en de particuliere sector, waaronder Royal Mail, Axa en USS, een van de grootste pensioenfondsen van Groot-Brittannië. Terwijl de De Britse vice-premier Oliver Dowden waarschuwde voor het risico voor kritieke nationale infrastructuurtoeleveringsketens en gaf bedrijven een formele waarschuwing over inkomende aanvallen van onvoorspelbare actoren

Meer recent werden grote merken, waaronder BA, Boots en de BBC, getroffen door een inbreuk op persoonlijke en financiële gegevens waarbij personeel en klanten betrokken waren. De dader? Een bug in een tool voor bestandsoverdracht genaamd MOVEit, die hun loonadministratieprovider, Zellis, gebruikte.

De uitdagingen waarmee de beveiliging van de toeleveringsketen wordt geconfronteerd

Waarom lijkt de beveiliging van de toeleveringsketen zo moeilijk voor organisaties om er bovenop te komen? Een van de cruciale uitdagingen is de toegenomen complexiteit en onderlinge afhankelijkheid van mondiale toeleveringsketens. Organisaties hebben vaak beperkt zicht op en controle over hun uitgebreide netwerk, waardoor het een uitdaging is om de beveiliging van gegevens en systemen buiten hun directe bereik te garanderen.

Bovendien wordt de informatiebeveiliging van de toeleveringsketen geconfronteerd met kwetsbaarheden zoals ontoereikende beveiligingspraktijken van leveranciers, zwakke authenticatiemechanismen, verouderde software en zelfs potentiële verstoringen van de toeleveringsketen veroorzaakt door natuurrampen of geopolitieke gebeurtenissen.

De impact van een inbreuk op de toeleveringsketen kan ernstig en verreikend zijn. Het kan niet alleen leiden tot financiële verliezen, reputatieschade en juridische gevolgen, maar het kan ook de bedrijfsvoering verstoren en het vertrouwen van klanten en belanghebbenden in gevaar brengen. Het onderling verbonden karakter van toeleveringsketens betekent dat een inbreuk in één organisatie opeenvolgende gevolgen kan hebben voor meerdere entiteiten binnen de keten, waardoor de potentiële schade wordt vergroot.

Wat het State of Information Security Report ons vertelt over supply chain-beveiliging

Ondanks de goed gedocumenteerde risico's en het groeiende aantal krantenkoppen verliezen veel bedrijven nog steeds hun toeleveringsketens uit het oog. Sterker nog, volgens onze Rapport Staat van Informatiebeveiliging 2023, Slechts 30% van de organisaties denkt dat ze moeite hebben met het beheer van hun toeleveringsketen, maar toch geeft ruim 57% toe dat ze in de afgelopen twaalf maanden ten minste één cyberincident hebben meegemaakt als gevolg van een compromittering van de toeleveringsketen. Velen geven toe dat ze meer dan één incident hebben meegemaakt.

Waar komt deze ontkoppeling vandaan? De Het NCSC heeft onlangs zelf onderzoek gedaan en ontdekte dat “iets meer dan één op de tien bedrijven de risico’s van hun directe leveranciers beoordeelt (13%), en dat dit aandeel voor de bredere toeleveringsketen de helft bedraagt ​​(7%).”

Dus hoewel veel organisaties begrijpen dat hun toeleveringsketen zorgwekkend moet zijn, blijft er een:

  • gebrek aan investeringen om zich tegen dit cyberrisico te beschermen
  • beperkt inzicht in toeleveringsketens
  • onvoldoende tools en expertise om de cyberveiligheid van leveranciers te beoordelen

gebrek aan duidelijkheid over wat u van uw leveranciers moet vragen

Deze problemen zorgen ervoor dat toeleveringsketens bloot komen te liggen en het risico lopen te worden uitgebuit door cybercriminelen.

Uitdagingen op regelgevingsgebied en beveiliging van de toeleveringsketen

In de afgelopen twaalf maanden heeft bijna twee derde (12%) van de Britse bedrijven een boete gekregen vanwege datalekken of overtredingen van de regelgeving. Het gemiddelde totaal aantal betaalde boetes bedroeg bijna £ 60.

De meest voorkomende boetes voor datalekken variëren van £50,000 tot £100,000 (21%), gevolgd door £100,000 tot £250,000 (17.5%). Bijna 21% van de respondenten kreeg boetes van meer dan £250,000, waarbij iets minder dan de helft toegaf een boete te hebben gekregen variërend van £500,000 tot maar liefst £1,000,000.

Van deze boetes was een alarmerende 42% direct of indirect het gevolg van een datalek of incident waarbij de toeleveringsketen of externe leveranciers in gevaar kwamen. Benadruk hoe integraal leveranciersbeheer is voor de informatiebeveiliging van een organisatie en de naleving van de regelgeving.

Belangrijkste trends die van invloed zijn op de beveiliging van de toeleveringsketen

Een van de belangrijkste conclusies uit het State of Information Security Report is de toenemende verfijning van cyberaanvallen gericht op toeleveringsketens. Cybercriminelen maken gebruik van geavanceerde persistente bedreigingen (APT's), dit zijn heimelijke en zeer gerichte aanvallen die erop gericht zijn de integriteit van de toeleveringsketen in gevaar te brengen. Deze aanvallen kunnen gedurende langere perioden onopgemerkt blijven, waardoor bedreigingsactoren ongeoorloofde toegang kunnen krijgen tot gevoelige gegevens of zelfs kritieke systemen kunnen manipuleren of overnemen.

Eenmaal in het systeem zullen aanvallers vaak losgeld eisen voor toegang tot deze kritieke systemen of dreigen gevoelige gegevens vrij te geven, tenzij ze worden betaald. Bijna 25% van de organisaties in ons onderzoek werd in de afgelopen twaalf maanden gegijzeld, terwijl nog eens 12% in dezelfde periode te maken kreeg met netwerkinbraak.

Bovendien werpt het rapport licht op de toenemende prevalentie van aanvallen op de toeleveringsketen, waarbij 19% van de respondenten beweert dat zij de afgelopen twaalf maanden op deze manier zijn getroffen. In deze scenario's misbruiken aanvallers kwetsbaarheden in een of meer supply chain-componenten om het hele ecosysteem te infiltreren.

Door bijvoorbeeld het netwerk of de systemen van een leverancier in gevaar te brengen, kunnen aanvallers ongeautoriseerde toegang verkrijgen tot downstream-partners, wat leidt tot een rimpeleffect van beveiligingsinbreuken. Dit onderstreept de onderlinge verbondenheid en onderlinge afhankelijkheid van supply chain-beveiliging, waardoor het voor organisaties van cruciaal belang is om risico’s te beoordelen en te beperken, niet alleen binnen hun systemen, maar ook binnen hun gehele supply chain-netwerk.

Een andere zorgwekkende trend die in het rapport wordt geïdentificeerd, is de toename van phishing-aanvallen in de toeleveringsketen. Cybercriminelen maken gebruik van social engineering-technieken om individuen binnen de toeleveringsketen te misleiden, hen ertoe te verleiden gevoelige informatie vrij te geven of onbedoeld kwaadaardige software te downloaden.

Deze phishing-aanvallen kunnen overtuigend zijn en zich vaak voordoen als vertrouwde leveranciers, verkopers of interne belanghebbenden. Het is daarom misschien niet verrassend dat 28% van de respondenten in de enquête verklaarde dat er in de afgelopen twaalf maanden een inbreuk was gepleegd als gevolg van een phishing-aanval gericht op hun werknemers. Organisaties moeten hun werknemers informeren over deze bedreigingen en robuuste e-mailbeveiligingsmaatregelen implementeren om deze steeds geavanceerdere phishing-pogingen te bestrijden.

Veelvoorkomende kwetsbaarheden in de toeleveringsketen en aanvalsvectoren

Het State of Information Security Report van ISMS.online onthult ook verschillende veelvoorkomende kwetsbaarheden en aanvalsvectoren die bedreigingsactoren uitbuiten om de veiligheid van leveranciers in gevaar te brengen.

Een veel voorkomende kwetsbaarheid is de zwakke controle op leveranciers. Veel leveranciers beschikken mogelijk niet over robuuste beveiligingsmaatregelen, waardoor ze een gemakkelijk doelwit zijn voor cyberaanvallen. Deze kwetsbaarheden kunnen bestaan ​​uit verouderde software, ontoereikend patchbeheer of lakse toegangscontroles. Aanvallers maken misbruik van deze zwakke punten om ongeoorloofde toegang te krijgen tot gevoelige informatie of om kwaadaardige code in het ecosysteem van de toeleveringsketen te introduceren.

Een andere kwetsbaarheid komt voort uit het gebrek aan due diligence tijdens de onboarding van leveranciers. Organisaties zien vaak het belang over het hoofd van het grondig doorlichten van de beveiligingspraktijken van hun leveranciers voordat ze zakelijke relaties aangaan. Dit toezicht creëert een potentieel gat in de verdediging van de toeleveringsketen, waardoor aanvallers de zwakste schakel kunnen misbruiken. Een leverancier met onvoldoende beveiligingsmaatregelen kan bijvoorbeeld onbedoeld de hele toeleveringsketen blootstellen aan aanzienlijke risico's.

Onvoldoende beveiligingsbewustzijn en training in de hele toeleveringsketen is een andere kwetsbaarheid die aanvallers misbruiken. Werknemers op verschillende niveaus binnen de toeleveringsketen beschikken mogelijk niet over voldoende kennis over best practices op het gebied van cyberbeveiliging of de potentiële bedreigingen waarmee zij worden geconfronteerd. Deze kenniskloof maakt hen vatbaar voor social engineering-aanvallen, phishing-pogingen of het onbedoeld introduceren van malware in het systeem.

Minder dan de helft van de ondervraagde organisaties heeft de afgelopen twaalf maanden regelmatig trainingen op het gebied van informatiebeveiliging of databewustzijn gegeven (12%), wat erop wijst dat 47% van de organisaties nog geen reguliere trainingen op het gebied van bewustmaking van hun personeel heeft gegeven. Organisaties moeten prioriteit geven aan trainingen op het gebied van beveiligingsbewustzijn en een cultuur van waakzaamheid creëren in de hele toeleveringsketen.

Het rapport benadrukt ook de risico's die gepaard gaan met software- en hardwarecomponenten van derden. Het integreren van deze componenten in de toeleveringsketen introduceert een mate van afhankelijkheid van externe entiteiten, waardoor het aanvalsoppervlak en de potentiële kwetsbaarheden toenemen. Kwaadwillige actoren kunnen deze componenten in gevaar brengen, wat kan leiden tot verstoringen van de toeleveringsketen, datalekken of de introductie van gecompromitteerde software of hardware.

Bovendien vormen bedreigingen van binnenuit binnen de toeleveringsketen een aanzienlijk risico. Bedreigingen van binnenuit kunnen zich voordoen wanneer personen met geautoriseerde toegang tot het ecosysteem van de toeleveringsketen hun privileges misbruiken of willens en wetens deelnemen aan kwaadwillige activiteiten. Dit kan een ontevreden werknemer zijn, een aannemer met ongeautoriseerde toegang of een gecompromitteerde insider. Ruim 20% van de ondervraagden in ons onderzoek had in de afgelopen twaalf maanden te maken gehad met een incident als gevolg van een bedreiging door insiders. Dergelijke bedreigingen kunnen ernstige gevolgen hebben, waaronder datalekken, diefstal van intellectueel eigendom of sabotage.

Het begrijpen van deze kwetsbaarheden is van cruciaal belang voor organisaties om gerichte strategieën voor risicobeperking te ontwikkelen. Organisaties kunnen de informatiebeveiliging van hun toeleveringsketen aanzienlijk verbeteren door zwakke leverancierscontroles te identificeren en aan te pakken, strenge due diligence-processen te implementeren, beveiligingsbewustzijn en trainingsprogramma's te bevorderen en software- en hardwarecomponenten van derden nauwlettend te beheren.

Navigeren door de complexiteit van supply chain-informatiebeveiliging

De toenemende afhankelijkheid van relaties met derden en het veranderende dreigingslandschap vereisen een alomvattende aanpak om risico's te beperken en gevoelige gegevens te beschermen. Laten we een aantal belangrijke gebieden onderzoeken waarmee we rekening moeten houden bij het navigeren door de complexiteit van informatiebeveiliging in de toeleveringsketen.

Risicobeoordelings- en mitigatiestrategieën:

Een grondige risicobeoordeling vormt de basis voor effectieve informatiebeveiliging in de toeleveringsketen. Het omvat het identificeren en evalueren van potentiële kwetsbaarheden en bedreigingen binnen het ecosysteem van de toeleveringsketen. Organisaties kunnen risico’s prioriteren, middelen effectief toewijzen en gerichte mitigatiestrategieën implementeren door regelmatig beoordelingen uit te voeren. Deze strategieën kunnen gegevensversleuteling, toegangscontroles, regelmatige beveiligingsaudits en voortdurende monitoring omvatten om kwetsbaarheden snel op te sporen en aan te pakken.

Een robuust raamwerk voor supply chain-beveiliging opzetten:

Organisaties moeten een robuust beveiligingsframework opzetten om de informatiebeveiliging van de toeleveringsketen effectief te kunnen beheren. Dit raamwerk moet duidelijke beleidslijnen, procedures en richtlijnen schetsen om consistente beveiligingspraktijken in de hele toeleveringsketen te garanderen. Het moet beveiligingsvereisten omvatten voor leveranciers, contractanten en andere externe partners en beleid voor het veilig delen en verzenden van gegevens. Regelmatige beoordelingen en audits kunnen de effectiviteit van het raamwerk valideren en voortdurende verbetering stimuleren.

Samenwerkingsinspanningen en partnerschappen:

Organisaties moeten open communicatie en samenwerking met leveranciers, leveranciers en andere belanghebbenden bevorderen om beveiligingspraktijken op één lijn te brengen, informatie over dreigingen te delen en de beveiligingshouding te versterken. Tot de samenwerkingsinitiatieven kunnen behoren platforms voor het delen van informatie, gezamenlijke beveiligingsaudits en regelmatige beveiligingstrainingen en bewustmakingsprogramma's.

Risicobeheer door derden:

Het is essentieel om robuuste risicobeheerprocessen van derden op te zetten. Dit omvat het uitvoeren van due diligence bij het selecteren van partners, het beoordelen van hun beveiligingspraktijken en het opstellen van contractuele overeenkomsten die de verwachtingen en verantwoordelijkheden op het gebied van beveiliging schetsen. Regelmatige monitoring en audits van beveiligingscontroles van derden moeten worden uitgevoerd om voortdurende naleving te garanderen.

Incidentrespons- en herstelplannen:

Ondanks proactieve beveiligingsmaatregelen kunnen er nog steeds incidenten plaatsvinden. Het is van cruciaal belang om goed gedefinieerde incidentrespons- en herstelplannen te hebben. Deze plannen moeten de stappen schetsen die moeten worden genomen in het geval van een inbreuk op de beveiliging, inclusief incidentdetectie, inperking, onderzoek en herstel. Organisaties moeten regelmatig incidentresponsoefeningen en simulaties uitvoeren om de effectiviteit van hun plannen te testen en verbeterpunten te identificeren.

Een proactieve en alomvattende benadering van informatiebeveiliging in de toeleveringsketen is cruciaal voor succes op de lange termijn en bedrijfscontinuïteit in een steeds evoluerend dreigingslandschap.

Hoe ISO 27001 kan helpen bij het bereiken van effectief supply chain management

ISO 27001 is een internationaal erkende norm voor informatiemanagement, maar het gaat er echt om risicobeheer. Werken binnen het ISO 27001-framework zal gedrags- en veiligheidsvoordelen opleveren voor elk bedrijf dat zijn cyberveerkracht wil verbeteren en de beveiliging van zijn toeleveringsketen effectief wil beheren.

ISO 27001 adviseert bedrijven om aseenvoudig proces voor het onboarden en beheren van leveranciers. Concentreer u in het bijzonder op het volgende:

  1. Het opstellen van een formeel beleid voor leveranciers, waarin uw vereisten worden beschreven voor het beperken van risico's die verband houden met derden
  2. Het overeenkomen en documenteren van deze vereisten met elke leverancier
  3. Controleren of leveranciers over processen beschikken om te voldoen aan de juiste basisveiligheidsniveaus (inclusief hun eigen toeleveringsketens). Dit kan worden gedaan via gerichte audits, vragenlijsten of controles op accreditatie met ISO 27001
  4. Het bijhouden van een regelmatig bijgewerkte lijst van goedgekeurde leveranciers
  5. Regelmatig beoordelen of leveranciers aan uw beveiligingseisen voldoen.
  6. Ervoor zorgen dat eventuele technische of proceswijzigingen onmiddellijk worden gemeld en dat u de impact ervan op het leveranciersrisico begrijpt.

 

Dat lijkt misschien essentieel, op gezond verstand gebaseerd advies, maar het kan organisaties tijd, geld, reputatieschade en frustratie besparen als het correct wordt geïmplementeerd. Bovendien kan het bereiken van naleving van het ISO 27001-framework een aanzienlijk zakelijk voordeel bieden door uw gecertificeerde beveiligingsreferenties aan huidige en toekomstige klanten te demonstreren.

Naarmate toeleveringsketens groter en complexer worden, nemen ook de daarmee samenhangende cyberrisico’s toe. Organisaties moeten beslissende maatregelen nemen om hun informatie en bezittingen te beschermen. Door gebruik te maken van middelen zoals Begeleiding voor het in kaart brengen van de toeleveringsketen aangeboden door het NCSC en door een ISMS te implementeren op basis van ISO 27001 kunnen organisaties hun risicobeheerpraktijken in de toeleveringsketen versterken en hun activiteiten beschermen tegen evoluerende cyberdreigingen. Dit is het moment om prioriteit te geven aan proactieve maatregelen om deze uitdagingen direct aan te pakken.

U kunt het volledige State of Information Security-rapport hier lezen: https://nl.isms.online/state-of-infosec-23/

Lees het rapport