Je denkt dat jouw netwerk een ondoordringbaar digitaal fort is? Je hebt tenslotte aan alles gedacht: stevige firewalls, authenticatieprotocollen, een slimme antivirus … Toch blijf je best niet op jouw lauweren rusten, want via supply chain attacks kunnen hackers dat allemaal gemakkelijk omzeilen.
Wat is een supply chain attack?
Een supply chain attack gebeurt wanneer iemand jouw systeem infiltreert via een supplier – een externe partner zoals een verkoper of leverancier – die toegang heeft tot jouw netwerk. Zij zijn mogelijks kwetsbaarder voor cyberaanvallen dan jouw bedrijf. Je hebt waarschijnlijk geïnvesteerd in goeie cybersecurity, zij mogelijks niets. Zij zijn dus de zwakke schakels in jouw netwerk. En zoals je weet: Jouw cyberbeveiliging is maar zo sterk als jouw zwakste schakel. Digitale slechteriken gebruiken elke truc om jouw netwerk te infiltreren en torpederen die zwakke plekken genadeloos.
Een supply chain attack is geen technologieprobleem, maar een mensenprobleem
Bij cyber supply chain attacks hebben we dus niet per se te maken met een IT-probleem, maar met een variëteit aan risico’s bij de externe partners. Denk aan povere informatiebeveiligingspraktijken, gecompromitteerde hardware en software of slecht opgestelde securitysystemen.
Een beveiligingsbreuk heeft dus alles te maken met menselijke fouten. Ga maar na hoeveel interne medewerkers en externe klanten, freelancers en leveranciers op jouw netwerk zitten. Steekt je jouw hand in het vuur dat hun laptops, smartphones, hardware en software niet gecompromitteerd zijn?
We dachten het niet.
Hoe wapen je jezelf daar het beste tegen? Voor we die vraag beantwoorden, is het belangrijk om een ongemakkelijke waarheid te onderstrepen
De vraag is niet of een supply chain attack er komt, maar wanneer
In 2018 viel 60 procent van bedrijven ten prooi aan supply chain attacks. Dat cijfer stijgt elk jaar. Pittig detail: meer dan 20 procent van de aangevallen bedrijven heeft nooit door dat ze zijn aangevallen.
Bij cyber supply chain security ontwikkel je dus jouw beveiliging op het uitgangspunt dat jouw systemen zullen worden aangevallen. Dat klinkt negatief, maar in cybersecurity mag je geen enkel risico nemen. De gevolgen zijn anders niet te overzien. Het gaat niet alleen om een aanval te voorkomen, maar ook om er zo snel mogelijk op te reageren en aan efficiënte schadebeperking te doen.
Supply chain attack: waar zitten de grootste risico’s?
De enorme groei in datatechnologie heeft ervoor gezorgd dat het nog nooit zo gemakkelijk is geweest om data te delen met jouw partners en leveranciers: het internet, mobiele telefoons, laptops, cloud services … allemaal maken ze ons het leven gemakkelijk. Maar de keerzijde van die medaille is dat de cyberbeveiligingsrisico’s nu werkelijk overal zitten. Tot in de broekzak van jouw favoriete leverancier.
Het supply chain-netwerk van jouw bedrijf bestaat uit een heleboel externe partners zoals fabrikanten, leveranciers, afhandelaars, transporteurs en kopers. Omdat jouw bedrijf mogelijk een robuust beveiligingssysteem heeft, voeren geavanceerde cybercriminelen supply chain attacks uit op de externe partners in het netwerk met zwakkere beveiligingsprotocollen.
Zo wapent je jouw bedrijf tegen supply chain attacks
Er zijn geen one-size-fits-all-oplossingen. Het komt er op neer slim en gestructureerd te werk te gaan. Hier geven we alvast enkele tips, oplossingen en best practices.
Zet een Information Security Management System op (ISMS). Dat is een reeks procedures voor het systematisch beschermen van gevoelige gegevens van een organisatie. Met zo’n systeem in stand boezem je ook vertrouwen in bij jouw klanten en partners.
Voer een Security Health Check uit. Tijdens zo’n check werkt onze security consultant een lijst af met de meest voorkomende beveiligingsproblemen en fouten om zo tot een accuraat beeld van jouw beveiligingssituatie te komen.
Investeer in een degelijke Endpoint Protection. Dat biedt bescherming tegen elke vorm van cyberbedreiging en dwarsboomt elke cyberaanval kordaat. Malware, virussen, ransomware, spyware en zero-day aanvallen hebben geen schijn van kans.
Laat jouw medewerkers een awareness training volgen. Voorkomen is beter dan genezen. Getrainde werknemers zijn een force to be reckoned with op de werkvloer. Ze maken minder fouten, merken aberraties sneller op en hun waakzaamheid straalt af op externe partners.