Aanvallen op organisaties worden door cybercriminelen steeds vaker ingezet via ketenpartners. Deze manier van aanvallen is geen nieuwe cyberdreiging, maar wel eentje die steeds vaker wordt gebruikt. Het is een niet te onderschatten onderdeel van je aanvalsoppervlak. Is een organisatie niet direct zelf kwetsbaar, dan wordt getracht om binnen te komen via de zwakste schakel, en dat kan dus ook jouw ketenpartner zijn. Ook organisaties die hun eigen cyberveiligheid goed op orde hebben, kunnen erdoor getroffen worden. Welke gevaren loopt jouw organisatie? En hoe kun je de risico’s beheersbaar maken?
Met enige regelmaat halen deze zogenoemde supply chain attacks de media. We noemen er een paar: de problemen bij Snowflake, het datalek bij marktonderzoeksbureau Blauw, Log4j en MOVEit en wellicht wel de bekendste: SolarWinds.
Je ziet het meteen als je de naam ‘SolarWinds’ intypt bij Google: “Trusted by Over 150K Worldwide.” Vertrouwen is het smeermiddel van onze economie, helaas kan dat vertrouwen soms ook leiden tot enorme problemen.
En juist SolarWinds, dat software levert voor de monitoring van serverparks, is daarvan een schrijnend voorbeeld. Direct nadat het bedrijf met een nieuwe update kwam, werd deze meteen geïnstalleerd door al die duizenden klanten: Amerikaanse ministeries, geheime diensten, strijdkrachten, de meeste Fortune 500-bedrijven, financiële instellingen, NASA, Microsoft, Intel, Cisco … noem maar op. Via die update kwam echter ook malware binnen, waardoor hackers konden rondkijken binnen getroffen organisaties.
Al die bovenstaande organisaties zullen ongetwijfeld uitgebreide beveiliging hebben gehad tegen cyberaanvallen. Voor de update van SolarWinds, een vertrouwde partner, stond de achterdeur echter onbedoeld wijd open.
Daarom kijken we in deze blog wat voor IT-gevaren jouw organisatie kan lopen via de ketenpartners. En hoe je als bestuurder daarmee om kunt gaan, zeker wanneer je als bestuurder straks onder NIS2 in specifieke gevallen hoofdelijk aansprakelijk gesteld kunt worden.
Gevaar 1: de leverancier doet niet wat hij zegt
Een scenario dat we met enige regelmaat tegenkomen: een bedrijf had de IT uitbesteed aan een gespecialiseerde dienstverlener. In het contract was ook vastgelegd dat er op gezette tijden back-ups werden gemaakt van de bedrijfsgegevens. In de praktijk bleek echter dat iemand bij de dienstverlener was vergeten om die optie in de tooling aan te zetten.
Twee jaar later werd het bedrijf getroffen door een ransomware-aanval. Men bleef kalm, want er waren immers back-ups? Maar die gemoedsrust duurde niet lang …
Advies: controleer of alles wat is afgesproken ook daadwerkelijk gebeurt! Dus vraag service level rapportages op en controleer deze door ook de onderbouwende bewijslast op te vragen. Spreek af met de leverancier dat er recoverytesten worden uitgevoerd en controleer actief dat de herstelde data benaderbaar en correct is. En doe dat niet eenmalig, maar op gezette tijden. Het is jouw verantwoordelijkheid om dit te organiseren.
Gevaar 2: onbekenden op jouw netwerk
Systemen voor airconditioning, toegangspoortjes en camerabewaking worden steeds vaker uitbesteed. Dat brengt voordelen met zich mee, maar ook risico’s. Want jij bent niet de enige die zaken uitbesteedt.
Misschien koop je de airco bij bedrijf 1 en besteedt die het beheer uit aan bedrijf 2, dat gedetacheerde mensen inzet van bedrijf 3. En die mensen configureren jouw airco, op jouw netwerk. Weet jij wel wie je in huis haalt? En of die mensen veilig te werk gaan?
Bij Uber kunnen ze daarover meepraten: een hacker maakte het wachtwoord buit waarmee een leverancier toegang had tot diverse systemen binnen het netwerk van Uber. Zoals het dashboard waar IT-kwetsbaarheden werden gemeld …
Advies: zorg dat je weet wie er bij jouw data kunnen. Vraag om de namen van de personen voor wie toegang noodzakelijk is, eis screening van deze personen en geef deze personen alleen toegang op de momenten dat dit noodzakelijk is. Daarnaast is het raadzaam om deze accounts te monitoren. Controleer ook of die bedrijven de juiste maatregelen hebben getroffen om problemen te voorkomen. Blokkeer de toegang (indien mogelijk) tot jouw netwerk nadat de noodzakelijke werkzaamheden hebben plaatsgevonden. Dit alles hoort contractueel met de (hoofd)aannemer te worden afgesproken.
Gevaar 3: riskante componenten in jouw producten
De ketens in productieprocessen worden steeds langer. Neem bijvoorbeeld de chips die in steeds meer producten verwerkt worden. Chipleveranciers laten hun producten buiten de deur fabriceren en voor de software schakelen ze nog weer andere bedrijven in. Als één bedrijf in die keten kwetsbaarheden introduceert, heeft dat gevolgen voor het eindproduct.
Met software is het risico nog groter dan met hardware: de hack bij SolarWinds valt in deze categorie, maar het kan ook gebeuren dat een IT-dienstverlener een malafide update van een softwarehuis verwerkt in zijn eigen product en uitrolt naar zijn klanten. Er zijn steeds meer voorbeelden in deze categorie. Daarnaast neemt ook het aantal OT- en IoT-apparaten dat aan het netwerk hangt toe, waardoor het risico op een incident toeneemt.
Advies: weet wie jouw partners zijn, en controleer ze, net als bij gevaar 2. En test jouw producten, keer op keer en grondig. En met het oog op de langere ketens; eis van jouw leverancier dat zij de juiste eisen stellen aan hun leveranciers.
Gevaar 4: verouderde maatwerksoftware
Krijgen jouw systemen nog updates? Zeker in productieomgevingen zijn er voorbeelden bekend van maatwerksoftware die al vele jaren oud is en niet meer geüpdatet kan worden. In andere gevallen bestaat de leverancier wellicht niet meer, of vraagt hij exorbitante bedragen voor het verbeteren van de veiligheid. Overstappen is immers nog veel duurder of vergt grote aanpassingen in de bedrijfsprocessen. En het systeem werkt toch?
Op zich hoeft oude software geen ramp te zijn. Oude kassasystemen kan je bijvoorbeeld allemaal in een afgescheiden netwerk zetten waar niemand bij kan, met slechts één zwaar bewaakte koppeling naar de rest van het bedrijf. Zo kan je het risico beperken. Maar veel organisaties zijn zich niet bewust van het risico en laten de deur wagenwijd open staan.
Advies: zorg dat je de zwakke plekken in jouw bedrijfssystemen kent, zowel aan de kantoorkant als in de productie. En scherm ze zo veel mogelijk af, totdat je daadwerkelijk in staat bent om deze systemen te vervangen.
Bedrijfscontinuïteit
De adviezen die we hierboven gegeven hebben, komen steeds op hetzelfde neer: het verkleinen van het aanvalsoppervlak. Zorg dat je de risico’s van jouw ketenpartners kent en probeer ze te minimaliseren. Dat is niets nieuws. Het is bijvoorbeeld ook onderdeel van ISO 27001. In de financiële wereld is leveranciersmanagement al jaren één van de vier grootste prioriteiten en nu ook in NIS2 wordt leveranciersmanagement als specifiek aandachtspunt benoemd.
En toch … Audits tonen vaak aan dat organisaties tekortschieten. Contracten met ketenpartners zijn oud, nooit bijgewerkt en in het ergste geval weet niemand waar ze zijn. Is er geheimhouding over gevoelige data afgesproken? Wordt men op de hoogte gesteld van een datalek bij een leverancier? Binnen welk tijdsbestek? Daar zijn geen afspraken over. Monitort men de dienstverlening van leveranciers en spreekt men hen er ook op aan als ze onvoldoende of verkeerd leveren? Hebben leveranciers accounts gekregen met 7*24 uur toegang en hoge privileges om onderhoud uit te voeren? Vaak is deze info niet, of in het beste geval gedeeltelijk, bekend.
De afdeling inkoop kijkt over het algemeen naar de aspecten die van belang zijn voor de primaire bedrijfsprocessen, zoals prijs en kwaliteit wanneer het contract wordt afgesloten. Maar wat kost het als jouw organisatie wekenlang plat ligt door een aanval met ransomware? Of als jouw afnemers schade oplopen door een gevaarlijke component in jouw product?
Dat zijn kwesties van bedrijfscontinuïteit. En dus van de board. Want cybersecurity is geen IT-feestje maar chefsache.