Ketenafhankelijkheid is een belangrijk begrip in cybersecurity, en komt steeds vaker in het nieuws. Wat is het eigenlijk, en waarom is het zo belangrijk? Zijn er dingen die u zelf kunt ondernemen om risico’s voor uzelf en uw ketenpartners te verkleinen? In dit blog geven we antwoord op deze vragen. Zoals u van ons gewend bent, doen we dit op geheel eenvoudige en begrijpelijke manier.
Aan berichten over ketenafhanklijkheid is de laatste tijd geen gebrek. Het FD berichtte eind februari (2021) bijvoorbeeld dat hackers steeds vaker binnenvallen via leveranciers en andere bedrijven waarmee zaken worden gedaan. Nog geen maand later staan de kranten vol met de verwachting dat miljoenen privé-adressen en telefoonnummers in handen van criminelen zijn gevallen door datalekken bij een bedrijf dat ICT-diensten aanbiedt aan autogarages en een bedrijf dat tickets verzorgt voor dierentuinen en pretparken.
Vorig jaar hebben hackers een stukje kwaadaardige code kunnen toevoegen aan een update van een software platform van het Amerikaanse bedrijf Solarwinds. Deze softwareontwikkelaar helpt bij het beheren van netwerken, systemen en IT-infrastructuur. Zo’n 18.000 klanten van Solarwinds hebben deze update geïnstalleerd. De hackers hebben hier een aantal doelwitten uit geselecteerd en kwaadaardige code gebruikt om aanvullende malware (kwaadaardige software) te installeren zodat ze zichzelf verdere toegang konden verschaffen. Onder de getroffen organisaties vallen grote bedrijven als Microsoft, Intel en Deloitte en Amerikaanse overheidsinstellingen zoals Homeland Security en het Pentagon. Niet de minste dus!
Waarom zijn deze voorbeelden nou zo interessant? Ze geven goed aan dat organisaties afhankelijk zijn van leveranciers en (klant)relaties; niet alleen voor in- en verkoop, maar ook op het gebied van cybersecurity. Hoe weet u dat de leveranciers van uw softwarepakketten de juiste cybersecurity maatregelen nemen? IT-leveranciers lopen namelijk verhoogde risico’s omdat zij interessante doelwitten vormen. Wanneer kwaadwillenden hier succesvol binnendringen is de kans namelijk groot dat zij zich toegang kunnen verschaffen tot systemen van (soms duizenden) klanten. Super efficiënt dus!
Er wordt ingeschat dat het nog wel jaren kan duren voor netwerken die geïnfiltreerd zijn door de (Solarwinds) hackers weer als veilig beschouwd kunnen worden. Toch heeft de hack ook een aantal positieve effecten gehad. De Amerikaanse overheid zal naar verwachting nauwer gaan samenwerken met de cybersecurityindustrie om aanvallen in de toekomst zo goed mogelijk te kunnen afslaan.
Daarnaast kan de hack ook brede veranderingen in gang zetten in de cybersecurity industrie. Zo zien we nu al dat organisaties (o.a. door de Solarwinds hack) anders gaan nadenken over hun weerbaarheid, volgens het principe van zero-trust. Hierbij gaat men er vanuit dat er altijd een lek is. Dit is fundamenteel anders dan pas te reageren wanneer er iets verdachts wordt opgemerkt. Er wordt niet alleen meer veel inspanning geleverd om goed te monitoren (vergelijkbaar met het plaatsen van camera’s), maar juist ook in het beveiligen van systemen (vergelijkbaar met het plaatsen van goede sloten). Een flinke stap in de goede richting dus!
Deze manier van denken zorgt voor meer nadruk op bijvoorbeeld het uitschakelen van alle onnodige functionaliteit (hardening), en het beperken van toegang voor gebruikers (autorisatie) tot wat strikt noodzakelijk is.
Zijn er nog andere zaken die u kunt ondernemen om ervoor te zorgen dat uw eigen organisatie, en die van uw partners zo goed mogelijk beschermd zijn? Jazeker!
Wij adviseren om cybersecurity zo snel mogelijk bespreekbaar te maken met klanten en toeleveranciers. Zo werkt u niet alleen aan het verlagen van (bedrijfs)risico's, maar ook aan het versterken van uw relaties.
Als IT-leverancier kan het een groot competitief voordeel opleveren om proactief en helder te communiceren over de cyberweerbaarheid van de servers van uw klanten. Onderzoeken tonen namelijk aan dat klanten bereid zijn om meer te betalen voor leveranciers die hun cybersecurity aantoonbaar in orde hebben, én bereid zijn om te wisselen van leverancier wanneer dit niet het geval is! Ook wanneer de weerbaarheid nog verbetering kan gebruiken, loont het om dit samen met de klant op te pakken.
Heeft uw klant of uw IT-leverancier cybersecurity nog niet (voldoende) ter sprake gebracht? Neem initiatief! Knoop een open gesprek aan en leg focus op wat u samen kunt realiseren. Door niet te fixeren op wat er al gebeurd had kunnen of moeten zijn, verhoogt u de efficiëntie en effectiviteit van gesprekken, én voorkomt u onnodig vervelende situaties.
U kunt ook overwegen om bijvoorbeeld een ISAE 3402 verklaring te behalen.
In deze blog hebben we een aantal recente voorbeelden genoemd van cyberincidenten waarvan grote aantallen ketenpartners de dupe werden. Daarnaast hebben we beargumenteerd dat dit soort aanvallen een aantal belangrijke positieve reacties heeft uitgelokt zoals het zero-trust principe én hebben we een aantal tips gegeven voor het werken aan de weerbaarheid van uw keten. Het is hierbij essentieel om de handen ineen te slaan, en samen met uw ketenpartners te onderzoeken hoe u uw cyberweerbaarheid het meest efficiënt verhoogt!