Toen IT-outsourcinggigant Capita in maart te maken kreeg met een ransomware-inbreuk, deed het zijn best om het verhaal in de media onder controle te krijgen. Maar supply chain-incidenten als deze hebben de gewoonte om weg te lopen van zelfs de best getrainde PR-teams. Na een paar weken vol druppelnieuws van Capita kwam de ergste nachtmerrie van het bedrijf: een stortvloed aan meldingen van inbreukmeldingen van zakelijke klanten. Naast dit incident en een tweede incident waarbij sprake was van een verkeerde configuratie van de cloud, is het aantal slachtoffers nu gestegen tot minstens 90.
Er zijn genoeg tips voor beveiligings- en complianceteams. Maar ze kunnen worden teruggebracht tot één idee. U kunt beschikken over het beste cyberrisicobeperkingsprogramma ter wereld, maar uw organisatie kan nog steeds ernstig worden blootgesteld aan incidenten als de toeleveringsketen niet wordt gedekt.
Think een schatting vorig jaar kreeg 98% van de mondiale organisaties in 2021 te maken met een inbreuk op de toeleveringsketen. Het is tijd om de zichtbaarheid en controle uit te breiden van binnen naar buiten de onderneming.
Wat is er met Capita gebeurd?
Capita heeft de lippen stijf op elkaar gehouden over het ‘incident’ dat naar eigen zeggen op 22 maart plaatsvond en is onthullend alleen tot op heden dat “sommige gegevens werden geëxfiltreerd uit minder dan 0.1% van het serverdomein”. In werkelijkheid, rapporten suggereren dat de ransomwaregroep BlackBasta achter de inbreuk zat, waarbij de persoonlijke en bankrekeninggegevens van de slachtoffers al op het dark web werden verkocht. Dit heeft grote gevolgen voor de vele zakelijke klanten van het bedrijf en uiteindelijk ook voor hun klanten.
Capita heeft contracten ter waarde van miljarden ponden met klanten uit de overheid en de particuliere sector, waaronder Royal Mail, Axa en USS, een van de grootste pensioenfondsen van Groot-Brittannië. Toezichthouder Het Information Commissioner's Office (ICO) is overstroomd met inbreukmeldingen van deze klanten. Tegelijkertijd heeft de Pensioentoezichthouder (TPR) heeft naar verluidt geschreven aan ruim 300 fondsen om hen te vragen na te gaan of zij ook getroffen zijn.
Capita is niet de eerste en zal ook niet de laatste bron zijn van toeleveringsketen cyber risico. Nog recenter werden grote merken, waaronder BA, Boots en de BBC, betrapt door een inbreuk op persoonlijke en financiële gegevens van personeel en mogelijk klanten. De dader? Een bug in een tool voor bestandsoverdracht genaamd MOVEit, die hun loonadministratieprovider, Zellis, gebruikte. Er wordt aangenomen dat duizenden bedrijven, directe en indirecte softwaregebruikers, mogelijk getroffen zijn.
Waarom supply chain-risico’s moeilijk te beheersen zijn
Nu de impact van beide inbreuken wereldwijd het nieuws blijft halen, is dit het moment om de risico’s in de toeleveringsketen beter te begrijpen. Jamie Akhtar, CEO van CyberSmart, stelt dat het Capita-incident een van de beste voorbeelden is van de veiligheidsrisico's die toeleveringsketens met zich meebrengen.
“Het dient als een waarschuwing voor het Britse bedrijfsleven. Als je deel uitmaakt van een toeleveringsketen, zullen cybercriminelen je vroeg of laat proberen aan te vallen. De kans om verstoring te veroorzaken of belangrijke gegevens te stelen is te mooi om te laten liggen”, zegt hij. “Dus we dringen er bij bedrijven van elke omvang op aan om na te denken over hun toeleveringsketen en de risico’s daarin.”
Simon Newman, CEO van The Cyber veerkracht Centre for London voegt eraan toe dat aanvallers zich steeds vaker richten op grote en complexe toeleveringsketens, omdat de interne beveiligingsinspanningen zijn verbeterd.
“Het vermogen om de veiligheid van een leverancier in gevaar te brengen, biedt niet alleen een potentiële achterdeur naar grotere organisaties, maar aangezien de derde partij waarschijnlijk ook producten of diensten aan andere bedrijven levert, betekent dit dat de omvang en de reikwijdte van de aanval is veel groter”, waarschuwt hij.
Waarom is het supply chain-risico zo moeilijk te beheersen?
Een supply chain-aanval kan vele vormen aannemen. Het kan zijn dat bedrijfsgegevens worden beheerd door een leverancier die vervolgens wordt gehackt (zoals Capita of Blackbaud). Het kan zijn dat een leverancier of partner met logins op uw netwerk in gevaar komt, waardoor hackers toegang krijgen tot de IT-middelen en gegevens van uw organisatie. Dit gebeurde in het massief 2013 Doelovertreding. Of het kan zelfs zo zijn dat meerdere downstreamgebruikers van gecompromitteerde software worden geïnfecteerd nadat hackers malware hebben geïmplanteerd of er bugs in hebben misbruikt, zoals gebeurde met MOVEit en Accelion.
Naarmate de digitale transformatie zich voortzet, blijft het cyberaanvaloppervlak van leveranciers groeien. Hun IT-omgevingen veranderen voortdurend en vereisen nauwlettend en idealiter voortdurend toezicht. Maar dit gebeurt niet. Volgens de Nationaal Cyber Security Center (NCSC) liggen enkele van de belangrijkste uitdagingen bij risicobeheer in de toeleveringsketen in het op orde krijgen van de basisprincipes, zoals:
- Inzicht in de risico's die gepaard gaan met armen beveiliging van de toeleveringsketen
- Meer investeren in risicobeperking
- Verbetering van de zichtbaarheid in toeleveringsketens
- Het verkrijgen van de juiste tools en expertise om de cyberbeveiliging van leveranciers te evalueren
- Begrijpen welke vragen u aan leveranciers moet stellen
Helaas zijn de huidige inspanningen niet voldoende. Volgens een overheidsrapportbeoordeelt slechts ongeveer één op de tien (10%) bedrijven de risico's van leveranciers. Zoals hierboven vermeld, zijn de belemmeringen die in het rapport worden genoemd onder meer geld, vaardigheden, prioriteiten stellen en het verkrijgen van de juiste informatie van leveranciers. Maar ook belangrijk is weten welke leveranciers je moet controleren en welke controles je moet uitvoeren. Dit is waar internationaal standaarden zoals ISO 27001 kan helpen.
Hoe ISO 27001 kan helpen
Volgens IBM20% van de datalekkenincidenten is afkomstig van leveranciers, met een gemiddelde kostprijs van $4.46 miljoen per datalek, meer dan het gemiddelde voor alle typen datalekken ($4.35 miljoen). Dit alleen al zou voldoende moeten zijn om de geest op de taak te concentreren het beheren van de toeleveringsketen risico effectiever. Maar hoe? Denk eerst eens aan de supply chain mapping (SCM) van het NCSC leiding, waarmee u inzicht krijgt in wie uw leveranciers zijn, wat zij leveren en hoe zij dit leveren. Dat moet een effectievere, op risico gebaseerde besluitvorming mogelijk maken.
Het evalueren en beheren van de leveranciersbeveiliging is ook een cruciaal onderdeel van een Information Security Management System (ISMS). ISO 27001 kan u vertellen hoe u dit kunt bereiken via stappen als:
- Het opstellen van een formeel beleid voor leveranciers, waarin uw vereisten worden beschreven voor het beperken van risico's die verband houden met derden
- Het overeenkomen en documenteren van deze vereisten met elke leverancier
- Controleren of leveranciers over processen beschikken om te voldoen aan de juiste basisveiligheidsniveaus (inclusief hun eigen toeleveringsketens). Dit kan worden gedaan via gerichte audits, vragenlijsten of controles op accreditatie met ISO 27001
- Het bijhouden van een regelmatig bijgewerkte lijst van goedgekeurde leveranciers
- Regelmatig beoordelen of leveranciers aan uw beveiligingseisen voldoen.
- Ervoor zorgen dat eventuele technische of proceswijzigingen onmiddellijk worden gemeld en dat u de impact ervan op het leveranciersrisico begrijpt.
Naarmate toeleveringsketens in omvang en complexiteit blijven groeien, neemt ook het cyberrisico toe. Het is tijd om actie te ondernemen.
Vereenvoudig vandaag nog uw supply chain-beheer
Ontdek hoe onze ISMS-oplossing een eenvoudige, veilige en duurzame benadering van supply chain management en informatiebeheer mogelijk maakt met ISO 27001 en meer dan 50 andere raamwerken.
