Het belang van supply chain security

10 mei, 2022

Het belang van supply chain security

10 mei, 2022

De meeste organisaties doen vandaag heel veel moeite om hun IT omgeving te beveiligen. De focus ligt vaak primair op de interne infrastructuur, beleidslijnen, intern ontwikkelde applicaties en bewustzijn van het eigen personeel.

Het IT ecosysteem van organisaties bestaat echter steeds vaker uit online tools, SaaS oplossingen, integraties met systemen van leveranciers via API’s, …. Hierdoor vloeit er niet alleen heel wat data in en uit je organisatie, maar wordt ook de attack surface (alle punten waar een aanvaller kan proberen binnendringen) vele malen groter. In dit artikel lichten we het belang van supply chain security toe.

Supply chain risico's

Een sterke ‘interne’ beveiliging blijkt dus niet langer voldoende voor organisaties aangezien cybercriminelen hun aandacht meer en meer verleggen naar de leveranciers van hun doelwit. Een onderzoek van ENISA in 2021 (zie rapport) toont aan dat organisaties erg kwetsbaar zijn voor een aanval op de supply chain, zelfs wanneer de eigen verdediging behoorlijk goed is.

Aanvallers verkennen nieuwe potentiële wegen om organisaties te infiltreren door zich te richten op hun leveranciers. Bovendien komen dit soort aanvallen steeds vaker voor, gezien een succesvolle aanval op één leverancier gevolgen kan hebben voor tal van klanten. De SolarWinds hack in 2020 impacteerde bijvoorbeeld tienduizenden organisaties over de hele wereld.

Wat wordt verstaan onder supply chain?

Een supply chain is de combinatie van het ecosysteem van middelen die nodig zijn om een product te ontwerpen, te vervaardigen en te distribueren. Op het gebied van cyberbeveiliging omvat een supply chain hardware en software, cloud- of lokale opslag en distributiemechanismen.

Aangezien leveranciers meer dan ooit verbonden zijn met elkaar en zich uitstrekken over de hele wereld, is supply chain security cruciaal in het securitybeleid van zowat elke organisatie (klein en groot). De complexiteit zit hem erin dat supply chain security maar zo sterk is als de zwakste schakel in de toeleveringsketen. Cybercriminelen gaan gericht op zoek naar de zwakste schakel om de volledige keten aan te vallen.

Vendor Risk Management als mogelijke oplossing

Het is dan ook van het grootste belang dat organisaties stilstaan bij de cybersecurity maturiteit van hun leveranciers. Door middel van zogenaamd Vendor Risk Management (VRM) kunnen organisaties een kader opzetten om leveranciersrisico’s te evalueren, op te volgen en actie te ondernemen. VRM geeft bedrijven ook inzicht in de maatregelen die leveranciers nemen om hun systemen te beveiligen.

Vendor Risk Management klinkt als een zwaar begrip en enkel geschikt voor corporate organisaties. Toch stellen het Agentschap Innoveren en Ondernemen (VLAIO) en een onderzoeksteam geleid door KU Leuven dat ook kleine ondernemingen nood hebben aan VRM. Het is vooral belangrijk om de VRM principes op maat van jouw organisatie en bijhorende supply chain toe te passen.

Organisaties dienen stil te staan bij volgende zaken om hun supply chain risico’s te kennen en beheersen:

1. Identificeer, documenteer en classificeer leveranciers en dienstverleners. Om je risico’s te kennen, moet je weten welke leveranciers je gebruikt. Dit kan gaan van het schoonmaakbedrijf (met toegang tot kantoren), tot cloud diensten of betaaldiensten. Classificeer de leveranciers volgens de diensten die ze leveren en de risico’s die ze vormen voor je organisatie.

2. Classificeer de assets en informatie die worden gedeeld met of toegankelijk zijn voor leveranciers en stel procedures op voor de toegang tot deze assets en informatie. Het schoonmaakbedrijf dat geen toegang heeft tot technische infrastructuur vormt een kleiner risico dan een leverancier die op netwerkniveau toegang heeft tot bepaalde bedrijfskritische systemen.

3. Bepaal de risicocriteria voor verschillende soorten leveranciers en diensten, zoals afhankelijkheden tussen leverancier en afnemer, kritieke softwareafhankelijkheden, single points of failure, …

4. Analyseer en monitor risico’s en bedreigingen gerelateerd aan de leveranciers in de supply chain. Herhaal deze risicoanalyses ook regelmatig. De risico’s die leveranciers met zich meebrengen, veranderen voortdurend. Want net zoals in jouw bedrijf is de staat van de infrastructuur, diensten, software en cyberbeveiliging bij je leveranciers continu in beweging.

5. Voeg cybersecurity toe aan je contracten. Een contractuele overeenkomst legt wettelijk de verwachtingen vast op alle fronten, inclusief beveiliging en risicobeoordeling. Zo is het mogelijk om veilige ontwikkeling van producten en diensten alsook best practices rond het beheren van kwetsbaarheden en patch management af te dwingen. Volg de contracten en de voorwaarden rond cybersecurity op.

6. Beheer leveranciers gedurende de gehele levenscyclus van een product of dienst, met inbegrip van procedures voor de behandeling van afgedankte producten of componenten. Een formeel proces om samenwerkingen met leveranciers stop te zetten is bijvoorbeeld uitermate belangrijk om ervoor te zorgen dat alle toegangen tot bedrijfsinformatie of integraties met de IT omgeving van jouw organisatie worden afgesloten.

Conclusie

Organisaties moeten in hun securitybeleid rekening houden met hun volledige IT ecosysteem. Gezien deze vandaag meer en meer bestaat uit cloudsystemen en integraties met software van leveranciers, is het niet langer voldoende om enkel te focussen op de ‘interne’ applicaties en omgeving.

Cyberaanvallen via de supply chain komen steeds vaker voor en brengen grote financiële en operationele risico’s binnen in een organisatie. Een goede toepassing van Vendor Risk Management kan helpen om deze risico’s onder controle te houden en passende acties te nemen (of af te dwingen van leveranciers).

Cookie	Looptijd	Omschrijving
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_pk_id.cb79863f-1ef6-487d-9ffd-7aa8e2b420db.126d	1 year 27 days	Piwik Pro Cookie - Used to recognize visitors and hold their various properties.
_pk_ses.cb79863f-1ef6-487d-9ffd-7aa8e2b420db.126d	30 minutes	Piwik Pro Cookie - Shows the visitor’s active session. If the cookie doesn’t exist, it means that the session ended more than 30 minutes ago and was counted in the _pk_id cookie.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
stg_last_interaction	1 year	Piwik Pro Cookie - Indicates whether the last visitor’s session is still running or a new session has started.
stg_returning_visitor	1 year	Piwik Pro Cookie - Indicates whether the visitor has been to your site before – they are a returning visitor.
stg_traffic_source_priority	30 minutes	Piwik Pro Cookie - Stores the type of traffic source from which the visitor came to your site.

Cookie	Looptijd	Omschrijving
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	5 months 27 days	Description is currently not available.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

10 mei, 2022