Aanvallen op organisaties worden door cybercriminelen steeds vaker ingezet via ketenpartners. Deze manier van aanvallen is geen nieuwe cyberdreiging, maar wel eentje die steeds vaker wordt gebruikt. Is een organisatie niet direct zelf kwetsbaar, dan wordt getracht om binnen te komen via de zwakste schakel, en dat kan dus ook uw ketenpartner zijn. Ook organisaties die hun eigen cyberveiligheid goed op orde hebben, kunnen erdoor getroffen worden. Welke gevaren loopt úw bedrijf? En hoe kunt u ze beheersbaar maken?
U ziet het meteen als u de naam ‘SolarWinds’ intypt bij Google: “Trusted by Over 150K Worldwide.” Vertrouwen is het smeermiddel van onze economie. Helaas kan dat vertrouwen soms ook leiden tot enorme problemen.
En juist SolarWinds, dat software levert voor de monitoring van serverparks, is daarvan een navrant voorbeeld. Direct nadat het bedrijf met een nieuwe update kwam, werd deze meteen geïnstalleerd door al die duizenden klanten: Amerikaanse ministeries, geheime diensten, strijdkrachten, de meeste Fortune 500-bedrijven, financiële instellingen, NASA, Microsoft, Intel, Cisco … noem maar op. Via die update kwam echter ook malware binnen, waardoor hackers konden rondkijken binnen getroffen organisaties.
Al die bovenstaande organisaties zullen ongetwijfeld uitgebreide beveiliging hebben gehad tegen cyberaanvallen. Voor de update van SolarWinds, een vertrouwde partner, stond de achterdeur echter onbedoeld wijd open.
Daarom kijken we in deze blog wat voor IT-gevaren uw bedrijf kan lopen via de ketenpartners. En hoe u als bestuurder daarmee om kunt gaan, zeker wanneer u als bestuurder straks onder NIS 2 in specifieke gevallen hoofdelijk aansprakelijk gesteld kunt worden.
Gevaar 1: de leverancier doet niet wat hij zegt
Een waargebeurd verhaal: een bedrijf had de IT uitbesteed aan een gespecialiseerde dienstverlener. In het contract was ook vastgelegd dat er op gezette tijden back-ups werden gemaakt van de bedrijfsgegevens. Maar iemand bij de serviceverlener was vergeten om dat af te vinken.
Twee jaar later werd het bedrijf getroffen door een ransomware-aanval. Men bleef kalm, want er waren immers back-ups? Maar die gemoedsrust duurde niet lang …
Advies: controleer of alles wat is afgesproken ook daadwerkelijk gebeurt! Dus vraag service level rapportages op en controleer deze door ook de onderbouwende bewijslast op te vragen. Spreek af met de leverancier dat er recoverytesten worden uitgevoerd en controleer actief dat de herstelde data benaderbaar en correct is. En doe dat niet eenmalig, maar op gezette tijden. Het is uw verantwoordelijkheid om dit te organiseren.
Gevaar 2: onbekenden op uw netwerk
Systemen voor airconditioning, toegangspoortjes en camerabewaking worden steeds vaker uitbesteed. Dat brengt voordelen met zich mee, maar ook risico’s. Want u bent niet de enige die zaken uitbesteedt.
Misschien koopt u de airco bij bedrijf 1 en besteedt die het beheer uit aan bedrijf 2, dat gedetacheerde mensen inzet van bedrijf 3. En die mensen configureren uw airco, op uw netwerk. Weet u wel wie u in huis haalt? En of die mensen veilig te werk gaan?
Bij Uber kunnen ze daarover meepraten: een hacker maakte het wachtwoord buit waarmee een leverancier toegang had tot diverse systemen binnen het netwerk van Uber. Zoals het dashboard waar IT-kwetsbaarheden werden gemeld …
Advies: zorg dat u weet wie er bij uw data kunnen. Vraag om de namen van de personen voor wie toegang noodzakelijk is, eis screening van deze personen en geef deze personen alleen toegang op de momenten dat dit noodzakelijk is. Daarnaast is het raadzaam om deze accounts te monitoren. Vergewis u er ook van dat die bedrijven de juiste maatregelen hebben getroffen om problemen te voorkomen. Blokkeer ook de toegang (indien mogelijk) nadat de noodzakelijke werkzaamheden hebben plaatsgevonden. Dit alles behoort contractueel met uw (hoofd)aannemer te worden afgesproken.
Gevaar 3: riskante componenten in uw producten
De ketens in productieprocessen worden almaar langer. Neem bijvoorbeeld de chips die in steeds meer producten verwerkt worden. Chipsleveranciers laten hun producten buiten de deur fabriceren en voor de software schakelen ze nog weer andere bedrijven in. Als één bedrijf in die keten kwetsbaarheden introduceert, heeft dat gevolgen voor het eindproduct.
Met software is het risico nog groter dan met hardware: de hack bij SolarWinds valt in deze categorie, maar het kan ook gebeuren dat een IT-dienstverlener een malafide update van een softwarehuis verwerkt in zijn eigen product en uitrolt naar zijn klanten. Er zijn steeds meer voorbeelden in deze categorie. Daarnaast neemt ook het aantal OT- en IoT-apparaten dat aan het netwerk hangt toe, waardoor het risico op een incident toeneemt.
Advies: weet wie uw partners zijn, en controleer ze, net als bij gevaar 2. En test uw producten, keer op keer en grondig. Eis van uw leverancier dat zij de juiste eisen stellen aan hun leveranciers.
Gevaar 4: verouderde maatwerksoftware
Worden uw bedrijfssystemen nog vernieuwd? Veel systemen dateren uit de jaren ’90, toen er geen structurele aandacht was voor security. Zeker in productieomgevingen zijn er voorbeelden bekend van maatwerksoftware die al vele jaren oud is en niet meer geüpdatet kan worden. In andere gevallen bestaat de leverancier wellicht niet meer, of vraagt hij exorbitante bedragen voor het verbeteren van de veiligheid. Overstappen is immers nog veel duurder of vergt grote aanpassingen in de bedrijfsprocessen. En het systeem werkt toch?
Op zich hoeft oude software geen ramp te zijn. Oude kassasystemen kunt u bijvoorbeeld allemaal in een afgescheiden netwerk zetten waar niemand bij kan, met slechts één zwaar bewaakte koppeling naar de rest van het bedrijf. Zo kunt u het risico beperken. Maar veel bedrijven zijn zich niet bewust van het risico en laten de deur wagenwijd open staan.
Advies: zorg dat u de zwakke plekken in uw bedrijfssystemen kent, zowel aan de kantoorkant als in de productie. En scherm ze zo veel mogelijk af, totdat u daadwerkelijk in staat bent om deze systemen te vervangen.
Bedrijfscontinuïteit
De adviezen die we hierboven gegeven hebben, komen steeds op hetzelfde neer: zorg dat u de risico’s van uw ketenpartners kent en probeer ze te minimaliseren. Dat is niets nieuws. Het is bijvoorbeeld ook onderdeel van ISO 27001. In de financiële wereld is leveranciersmanagement al jaren één van de vier grootste prioriteiten en nu ook in NIS 2 wordt leveranciersmanagement als specifiek aandachtspunt benoemd.
En toch … Audits tonen vaak aan dat bedrijven tekortschieten. Contracten met ketenpartners zijn oud, nooit bijgewerkt en in het ergste geval weet niemand waar ze zijn. Is er geheimhouding over gevoelige data afgesproken? Wordt men op de hoogte gesteld van een datalek bij een leverancier? Daar zijn geen afspraken over. Monitort men de dienstverlening van leveranciers en spreekt men hen er ook op aan als ze onvoldoende of verkeerd leveren? Hebben leveranciers accounts gekregen 7*24 uur met hoge privileges om onderhoud uit te voeren? Geen idee.
De afdeling inkoop kijkt over het algemeen naar de aspecten die van belang zijn voor de primaire bedrijfsprocessen, zoals prijs en kwaliteit wanneer het contract wordt afgesloten. Maar wat kost het als uw bedrijf wekenlang plat ligt door een aanval met ransomware? Of als uw afnemers schade oplopen door een gevaarlijke component in uw product?
Dat zijn kwesties van bedrijfscontinuïteit. En dus van de board. Because that’s where the buck stops.
