Preventie van aanvallen op de toeleveringsketen

De beveiliging van de toeleveringsketen is een groeiend probleem in het steeds ingewikkelder wordende geopolitieke landschap. De meeste organisaties werken samen met derde partijen – vaak in verschillende landen – om hun systemen te beheren en hun producten te maken, te produceren en te leveren. Dit betekent echter dat de kwetsbaarheid van de toeleveringsketen een reële dreiging is die van invloed kan zijn op de activiteiten van een bedrijf. Het probleem is vooral relevant nu bedrijven steeds meer vertrouwen op cloudservices zoals die van Open AI en Meta, die allemaal aanzienlijke dreigingen kunnen vormen.

Veel landen plaatsen nu een veilig beheer van de toeleveringsketen op de nationale agenda en keuren aanbevelingen en wetgeving goed om de integriteit van deze cruciale wereldwijde netwerken te waarborgen. Het blijft echter aan bedrijven om hun toeleveringsnetwerken effectief te beheren, vooral wanneer veel zakelijke functies online en in de cloud worden beheerd.

Laten we eens kijken welke kwetsbaarheden in de toeleveringsketen het meest kritiek zijn in de huidige zakelijke omgeving en hoe deze risico's kunnen worden beperkt.

Wat is een aanval op de toeleveringsketen?

Aanvallen in de toeleveringsketen zijn specifieke cyberdreigingen waarbij aanvallers het netwerk van een organisatie binnendringen door kwetsbaarheden in de toeleveringsketen te misbruiken. Hoewel de meeste bedrijven moeten samenwerken met externe leveranciers, hebben deze externe leveranciers vaak gevoelige gegevens van het bedrijf nodig om ze in hun systemen te integreren. Als de leverancier wordt gecompromitteerd, kunnen al hun klanten – de bedrijven waarmee ze werken – ook te maken krijgen met datalekken .

Soorten cyberaanvallen op de toeleveringsketen

Een aanval op de toeleveringsketen kan verschillende vormen aannemen, afhankelijk van waar in de keten – en hoe – een aanvaller zich precies op een bedrijf richt. Enkele voorbeelden van aanvallen op de toeleveringsketen zijn:

• Malware : veel aanvallen op de toeleveringsketen worden uitgevoerd via virussen, ransomware en andere kwaadaardige software.
• Phishing- aanvallen : hierbij worden mogelijk social engineering- technieken gebruikt om werknemers van een bedrijf te manipuleren om gevoelige gegevens of gebruikersgegevens te onthullen.
• Distributed Denial of Service (DDoS) : DDoS-aanvallen blokkeren het netwerk van een organisatie met veel verkeer en veroorzaken grote verstoringen die de toeleveringsketens blokkeren.
• Compromitterende leveranciers : in dit geval wordt de beveiliging van de toeleveringsketen in gevaar gebracht door zwakke punten in de leveranciersnetwerken van een bedrijf aan te pakken.
• Leveranciersfraude : onbetrouwbare leveranciers bieden mogelijk producten en diensten aan met een aangetaste beveiliging van de toeleveringsketen.
• Software sabotage : aanvallers kunnen authentieke software manipuleren en kwetsbaarheden introduceren die later kunnen worden misbruikt om aanvallen uit te voeren.
• Gegevensmanipulatie : aanvallers vervalsen opzettelijk gegevens binnen de toeleveringsketen van een bedrijf.
• Netwerkinbreuken : deze brengen de netwerken of onderling verbonden apparaten tussen leveranciers en klanten in gevaar; dit kunnen IoT-apparaten en netwerkhardware zijn.

Kwetsbaarheden in de toeleveringsketen

Naarmate toeleveringsketens steeds ingewikkelder worden, nemen de uitdagingen van cyberbeveiliging in toeleveringsketens dienovereenkomstig toe. Hier volgen enkele van de meest urgente problemen op het gebied van veilig beheer van de toeleveringsketen:

1. Slechte prestaties van leveranciers als gevolg van politieke of financiële afhankelijkheid of blootstelling aan natuurrampen.
2. Complexe vraagplanning, als gevolg van het onvermogen om de vraag nauwkeurig te voorspellen.
3. Een wereldwijd tekort aan geschoolde arbeidskrachten, van cruciaal belang voor het begrijpen van de monitoring van de beveiliging van de toeleveringsketen en best practices.
4. Een volatiele economie met een hogere inflatie en voorspelbare prijzen maakt het moeilijk om met leveranciers te onderhandelen en de voorraad effectief te beheren.
5. Moeilijk te navigeren netwerk van wereldwijde en lokale sancties en voorschriften.
6. Geopolitieke spanningen kunnen toeleveringsketens verstoren of bemoeilijken.
7. Kans op reputatieschade als gevolg van slechte praktijken op het gebied van milieu, maatschappij en bestuur (ESG) bij leveranciers.
8. Mogelijke natuurrampen door veranderende klimaten.
9. Verhoogde cyberrisico's als gevolg van een te grote afhankelijkheid van de cloud en andere digitale technologieën door leveranciers en organisaties.

Employees en kwetsbaarheid in de toeleveringsketen

Werknemers moeten een cruciale verdedigingslinie zijn bij de preventie van aanvallen in de toeleveringsketen voor bedrijven. Ze hebben mogelijk toegang tot de gevoelige gegevens van een bedrijf of de inloggegevens die toegang geven tot deze gegevens. Om deze reden zijn sommige aanvallen op de toeleveringsketen gericht op werknemers en veranderen ze in onwetende aanvalsvectoren. Deze aanvallen gebruiken vaak phishing-e-mails en social engineering om toegang te krijgen tot het netwerk van een externe leverancier en te infiltreren in het netwerk van het doelwit.

Daarom is het van essentieel belang dat bedrijven – en leveranciers die binnen de toeleveringsketen werken – ervoor zorgen dat werknemers de best practices voor de beveiliging van de toeleveringsketen begrijpen. Dit beschermt het bedrijf en zijn klanten.

Veel bedrijven implementeren strenge trainingsprogramma's voor het bewustzijn van hun werknemers als onderdeel van hun strategieën voor veerkracht van de toeleveringsketen. Dit kunnen zijn:

• Voorbeelden uit de praktijk om te illustreren hoe aanvallen op de toeleveringsketen werken.
• Veelvoorkomende phishing-scams en social engineering-technieken.
• Interactieve training om het leren te stimuleren.
• Specifieke dreigingen, zoals malware .
• Toegangscontrole implementeren zodat werknemers weten wie toegang moet hebben tot welke gegevens.
• Leren hoe u veilig kunt werken met externe leveranciers, zoals het vaststellen van beveiligingsvereisten en het uitvoeren van regelmatige audits.
• Gevoelige gegevens op de juiste manier beheren en delen, inclusief de verificatie van identiteiten.
• Het belang van veilige communicatiemethoden.

Kaspersky biedt verschillende trainingsprogramma's en tools aan die leveranciers mogelijk nuttig vinden om het bewustzijn van werknemers over cyberbeveiliging in toeleveringsketens te vergroten. Zo evalueert de Kaspersky Security Awareness Tool de vaardigheden van werknemers op het gebied van cyberbeveiliging, terwijl het Kaspersky Automated Security Awareness Platform waardevolle kennis biedt over het verminderen van cyberdreigingen zoals phishing en het voorkomen van reputatieschade.

Belangrijke stappen voor de beveiliging van de supply chain

Bedrijven kunnen verschillende dingen doen om de beveiliging van de beveiligingsketen binnen hun bedrijf te verbeteren. Hieronder vindt u enkele van de meest aanbevolen acties:

1. Implementeer honeytokens, die als lokmiddel fungeren in het geval van aanvallen en organisaties waarschuwen voor pogingen tot inbreuken.
2. Gebruik een robuuste cloudbeveiligingsoplossing.
3. Gebruik een effectief raamwerk voor het beheer van bevoorrechte toegang om de veelvoorkomende reeks aanvallen van zijwaartse bewegingen door een netwerk te voorkomen om bevoorrechte accounts voor toegang tot gevoelige gegevens te vinden; dit kan het detecteren van lekken van derden zijn, het implementeren van Identity Access Management en het versleutelen van alle interne gegevens .
4. Informeer het personeel over veelvoorkomende dreigingen voor de beveiliging van de toeleveringsketen, waaronder phishing, social engineering, DDoS-aanvallen en ransomware.
5. Implementeer een Zero Trust-architectuur die alleen toegang tot intellectueel eigendom geeft nadat verbindingsverzoeken strenge beoordelingen hebben doorstaan. Dit is ook handig voor werken op afstand.
6. Identificeer en beperk potentiële interne dreigingen. Hoewel het een uitdaging is, kunnen regelmatige werknemersbetrokkenheid en een open werkcultuur nuttig zijn bij het identificeren van bedrijfsbrede problemen voordat werknemers vijandig en mogelijk kwaadaardig worden.
7. Identificeer kwetsbare bronnen door met leveranciers te praten en potentiële aanvalsvectoren in kaart te brengen.
8. Beperk de toegang tot gevoelige gegevens door bevoorrechte toegang tot een minimum te beperken en registreer alle werknemers en leveranciers die toegang hebben tot gevoelige gegevens.
9. Zorg ervoor dat leveranciers interne beveiligingsmaatregelen nemen door normen en vereisten voor de toegang tot en het gebruik van gegevens in contracten vast te leggen – vermeld expliciet dat de organisatie op de hoogte moet worden gesteld als de leverancier het slachtoffer wordt van een datalek.
10. Diversifieer leveranciers om potentiële kwetsbaarheid van de toeleveringsketen te verminderen.
11. Ga ervan uit dat datalekken onvermijdelijk zijn en werknemers, processen en apparaten beschermen tegen compromissen. Dit kan het gebruik van antivirussoftware, multi-factor authenticatie en oplossingen voor het monitoren van aanvalsoppervlakken zijn.
12. Begrijp hoe een wereldwijd tekort aan arbeidskrachten de toeleveringsketens kan beïnvloeden en vind hiervoor strategieën voor de veerkracht van de toeleveringsketen.

Legalisatie en beveiliging van de toeleveringsketen

Hoewel de meeste overwegingen van de toeleveringsketen gericht zijn op bedrijven, nemen veel regeringen kennis van de beveiligingsmaatregelen op nationaal niveau en voeren ze deze uit. De reden hiervoor is dat problemen met de toeleveringsketen grote nationale gevolgen kunnen hebben.

Hieronder ziet u een overzicht van de stappen die sommige landen ondernemen om de beveiliging van de toeleveringsketen te verbeteren:

De EU

De EU zet stappen om het veilige beheer van de toeleveringsketen te versterken met de nieuwe NIS2-richtlijn . Deze schetst drie mechanismen voor een betere beveiliging van de toeleveringsketen: gecoördineerde risicobeoordeling op EU-niveau; nationale risicobeoordeling op nationaal niveau voor de lidstaten; en interne risicobeoordelingen voor bedrijven.

Naleving van de NIS2-richtlijn vereist mogelijk dat bedrijven:

• Nadenken over kwetsbaarheden voor elke leverancier, inclusief hun cyberbeveiligingspraktijken.
• risicobeoordelingen van kritieke toeleveringsketens uitvoeren zoals beschreven in artikel 22, lid 1, en – belangrijker nog – rekening houden met de resultaten; financiële sancties kunnen het gevolg zijn als lidstaten/bedrijven dit niet doen.
• Stel een lijst met essentiële operators op en werk deze bij en zorg ervoor dat ze voldoen aan de vereisten van de richtlijn.
• Nationale strategieën voor cyberbeveiliging begrijpen.
• Begrijp de reikwijdte van het CSIRT-netwerk van de EU, dat activa met internettoegang kan monitoren.
• Besteed aandacht aan de nadruk die de richtlijn legt op softwareleveranciers voor de opslag en verwerking van gegevens, het beheer van cyberbeveiliging en software-editors.
• Identificeer risico's en implementeer passende risicobeperkende maatregelen.
• Zorg voor een duidelijk proces voor het melden van incidenten - en doe dit tijdig
• Werk samen met leveranciers om cyberbeveiligingsrisico's te identificeren en te beperken.
• Stel verwachtingen voor de beveiliging van de toeleveringsketen bij leveranciers en voer regelmatig controles uit op naleving.

Het VK

Het VK legt veel nadruk op cyberbeveiliging, vooral in toeleveringsketens. Het Nationaal Cyber Security Centrum heeft een Cyber Assessment Framework opgesteld met strategieën voor het beperken van cyberdreigingen. Principe 8 van de Cloud Security Guidance van het framework verwijst specifiek naar best practices voor de beveiliging van de toeleveringsketen en cloudservices, die bijzonder kwetsbaar zijn voor aanvallen.

Het advies hier suggereert dat bedrijven het volgende begrijpen:

• Hoe hun gegevens worden gedeeld met en gebruikt door leveranciers
• Of klantgegevens hier deel van uitmaken
• Hoe de hardware en software van de leverancier over passende beveiligingsmaatregelen beschikken
• Hoe het risico van een leverancier kunnen worden beoordeeld
• Hoe de naleving van de beveiliging met leveranciers kan worden afgedwongen

Om ervoor te zorgen Gezien het bovenstaande suggereert de overheidsrichtlijn verschillende implementatiebenaderingen bij het gebruik van cloudservices, waaronder:

• Inzicht in de scheiding in cloudservices, die kan worden gebouwd op IaaS- of PaaS-producten van derden.
• Bij het maken van risicobeoordelingen moet rekening worden gehouden met de gevoeligheid van gegevens, vooral bij het gebruik van services van derden.
• Kijken hoe services van derden de relatie tussen het delen van gegevens beschrijven en ervoor zorgen dat deze in overeenstemming is met de AVG.

Praktische tips om aanvallen op de toeleveringsketen te voorkomen

Hoewel het niet mogelijk is om de dreigingen voor de beveiliging van de toeleveringsketen te elimineren, zijn er manieren om de risico's te beperken, met name door aandacht te besteden aan leveranciers. Het kan voor organisaties nuttig zijn om:

1. Regelmatig risicobeoordelingen van de toeleveringsketen voor externe leveranciers uit te voeren en te monitoren.
2. Identificeer en beperk eventuele datalekken of lekken van derden die kunnen leiden tot aanvallen op de toeleveringsketen.
3. Maak een overzicht van een risicoprofiel voor elke leverancier en groepeer leveranciers vervolgens op dreigingsniveau/type.
4. Rangschik leveranciers op kwetsbaarheid, toegang tot gegevens en impact op het bedrijf.
5. Beoordeel het beheer van de toeleveringsketen met enquêtes en bezoeken ter plaatse.
6. Identificeer kwetsbaarheden in de systemen van een leverancier en vraag om verbeteringen.
7. Beoordeel de beveiliging van de producten en diensten die de leveranciers leveren.

Het gebruik van betrouwbare beveiligings- en antivirusprogramma's, zoals Kaspersky Hybrid Cloud Security , moet ook deel uitmaken van een eerste verdedigingslinie voor toeleveringsketens.

Gerelateerde artikelen:

• Wat is gegevensdiefstal en hoe voorkom je dit?
• Zo voorkom je cyberaanvallen
• Je persoonlijke online privacy beschermen

Gerelateerde producten:

• Kaspersky Hybrid Cloud Security
• Kaspersky Next
• Kaspersky Managed Detection and Response