10 mei, 2022

Het belang van supply chain security

supply chain security
10 mei, 2022

De meeste organisaties doen vandaag heel veel moeite om hun IT omgeving te beveiligen. De focus ligt vaak primair op de interne infrastructuur, beleidslijnen, intern ontwikkelde applicaties en bewustzijn van het eigen personeel.

Het IT ecosysteem van organisaties bestaat echter steeds vaker uit online tools, SaaS oplossingen, integraties met systemen van leveranciers via API’s, …. Hierdoor vloeit er niet alleen heel wat data in en uit je organisatie, maar wordt ook de attack surface (alle punten waar een aanvaller kan proberen binnendringen) vele malen groter. In dit artikel lichten we het belang van supply chain security toe.

Supply chain risico's

Een sterke ‘interne’ beveiliging blijkt dus niet langer voldoende voor organisaties aangezien cybercriminelen hun aandacht meer en meer verleggen naar de leveranciers van hun doelwit. Een onderzoek van ENISA in 2021 (zie rapport) toont aan dat organisaties erg kwetsbaar zijn voor een aanval op de supply chain, zelfs wanneer de eigen verdediging behoorlijk goed is. 

Aanvallers verkennen nieuwe potentiële wegen om organisaties te infiltreren door zich te richten op hun leveranciers. Bovendien komen dit soort aanvallen steeds vaker voor, gezien een succesvolle aanval op één leverancier gevolgen kan hebben voor tal van klanten. De SolarWinds hack in 2020 impacteerde bijvoorbeeld tienduizenden organisaties over de hele wereld.

Wat wordt verstaan onder supply chain?

Een supply chain is de combinatie van het ecosysteem van middelen die nodig zijn om een product te ontwerpen, te vervaardigen en te distribueren. Op het gebied van cyberbeveiliging omvat een supply chain hardware en software, cloud- of lokale opslag en distributiemechanismen.

Aangezien leveranciers meer dan ooit verbonden zijn met elkaar en zich uitstrekken over de hele wereld, is supply chain security cruciaal in het securitybeleid van zowat elke organisatie (klein en groot). De complexiteit zit hem erin dat supply chain security maar zo sterk is als de zwakste schakel in de toeleveringsketen. Cybercriminelen gaan gericht op zoek naar de zwakste schakel om de volledige keten aan te vallen.

Vendor Risk Management als mogelijke oplossing

Het is dan ook van het grootste belang dat organisaties stilstaan bij de cybersecurity maturiteit van hun leveranciers. Door middel van zogenaamd Vendor Risk Management (VRM) kunnen organisaties een kader opzetten om leveranciersrisico’s te evalueren, op te volgen en actie te ondernemen. VRM geeft bedrijven ook inzicht in de maatregelen die leveranciers nemen om hun systemen te beveiligen.

Vendor Risk Management klinkt als een zwaar begrip en enkel geschikt voor corporate organisaties. Toch stellen het Agentschap Innoveren en Ondernemen (VLAIO) en een onderzoeksteam geleid door KU Leuven dat ook kleine ondernemingen nood hebben aan VRM. Het is vooral belangrijk om de VRM principes op maat van jouw organisatie en bijhorende supply chain toe te passen.

Organisaties dienen stil te staan bij volgende zaken om hun supply chain risico’s te kennen en beheersen:

1. Identificeer, documenteer en classificeer leveranciers en dienstverleners. Om je risico’s te kennen, moet je weten welke leveranciers je gebruikt. Dit kan gaan van het schoonmaakbedrijf (met toegang tot kantoren), tot cloud diensten of betaaldiensten. Classificeer de leveranciers volgens de diensten die ze leveren en de risico’s die ze vormen voor je organisatie.

2. Classificeer de assets en informatie die worden gedeeld met of toegankelijk zijn voor leveranciers en stel procedures op voor de toegang tot deze assets en informatie. Het schoonmaakbedrijf dat geen toegang heeft tot technische infrastructuur vormt een kleiner risico dan een leverancier die op netwerkniveau toegang heeft tot bepaalde bedrijfskritische systemen.

3. Bepaal de risicocriteria voor verschillende soorten leveranciers en diensten, zoals afhankelijkheden tussen leverancier en afnemer, kritieke softwareafhankelijkheden, single points of failure, …

4. Analyseer en monitor risico’s en bedreigingen gerelateerd aan de leveranciers in de supply chain. Herhaal deze risicoanalyses ook regelmatig. De risico’s die leveranciers met zich meebrengen, veranderen voortdurend. Want net zoals in jouw bedrijf is de staat van de infrastructuur, diensten, software en cyberbeveiliging bij je leveranciers continu in beweging.

5. Voeg cybersecurity toe aan je contracten. Een contractuele overeenkomst legt wettelijk de verwachtingen vast op alle fronten, inclusief beveiliging en risicobeoordeling. Zo is het mogelijk om veilige ontwikkeling van producten en diensten alsook best practices rond het beheren van kwetsbaarheden en patch management af te dwingen. Volg de contracten en de voorwaarden rond cybersecurity op.

6. Beheer leveranciers gedurende de gehele levenscyclus van een product of dienst, met inbegrip van procedures voor de behandeling van afgedankte producten of componenten. Een formeel proces om samenwerkingen met leveranciers stop te zetten is bijvoorbeeld uitermate belangrijk om ervoor te zorgen dat alle toegangen tot bedrijfsinformatie of integraties met de IT omgeving van jouw organisatie worden afgesloten.

Conclusie

Organisaties moeten in hun securitybeleid rekening houden met hun volledige IT ecosysteem. Gezien deze vandaag meer en meer bestaat uit cloudsystemen en integraties met software van leveranciers, is het niet langer voldoende om enkel te focussen op de ‘interne’ applicaties en omgeving. 

Cyberaanvallen via de supply chain komen steeds vaker voor en brengen grote financiële en operationele risico’s binnen in een organisatie. Een goede toepassing van Vendor Risk Management kan helpen om deze risico’s onder controle te houden en passende acties te nemen (of af te dwingen van leveranciers).

Cedric Brosens

Managing Partner Infosentry