Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Wanneer de leverancier het lek is: waarom de stijging van 60% in derde partij-compromittering vraagt om een control plane
Wanneer de leverancier het lek is: waarom de stijging van 60% in derde partij-compromittering vraagt om een control plane

Wanneer de leverancier het lek is: waarom de stijging van 60% in derde partij-compromittering vraagt om een control plane

by Patrick Spencer updated mei 29, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 8 minutes

Het DBIR 2026 verdeelt datalekken via derden in drie archetypen. Archetype 1: een kwetsbaarheid in het product van de leverancier biedt aanvallers initiële toegang tot de omgeving van de klant — de klassieke software supply chain-aanval. Archetype 2: de gegevens van de klant bevonden zich al in de omgeving van de leverancier toen deze werd getroffen. Archetype 3: de leverancier verloor inloggegevens of toegangssleutels die aanvallers tegen de klant gebruikten. Het DBIR constateert dat in 2025 steeds vaker combinaties van twee of zelfs alle drie de archetypen samen bijdragen aan één enkel datalek — wat betekent dat het single-vendor, single-incident model waarop de meeste third-party risk programma’s zijn gebaseerd, niet langer past bij de werkelijke incidentpatronen.

De Salesloft Drift-case is hiervan het duidelijkste voorbeeld. OAuth-tokens werden bij de leverancier gecompromitteerd (Archetype 3), vervolgens gebruikt tegen het platform van een andere leverancier waar klantgegevens stonden (Archetype 2), om gegevens te exfiltreren van bedrijven die niet wisten dat ze via deze route waren blootgesteld totdat de onthulling in het nieuws kwam. De kettingreactie is het punt: elke organisatie had Salesloft Drift onafhankelijk beoordeeld en vertrouwd, en dat vertrouwen werd het aanvalspad.

5 Belangrijkste Inzichten

1. Datalekken waarbij derden betrokken zijn vormen nu bijna de helft van alle datalekken.

Het DBIR 2026 van Verizon registreerde een stijging van 60% jaar-op-jaar in datalekken waarbij derden betrokken zijn, tot 48% van alle datalekken. Het DBIR 2024 documenteerde 15%; het DBIR 2025 ongeveer 30%; het cijfer van 2026 betekent een structurele verschuiving waarbij het datalekprobleem zich verplaatst van de enterprise-perimeter naar het leveranciers-ecosysteem. Het leverancierspad is nu het primaire aanvalspad.

2. Eén gecompromitteerde SaaS-plugin kan iedereen in gevaar brengen.

De Salesloft Drift OAuth-token campagne leidde tot diefstal van klantgegevens bij Google, Zscaler, Cisco en anderen — toegeschreven aan ShinyHunters/UNC6040. De compromittering van één leverancier werd het datalek van tientallen ondernemingen die geen directe relatie met de aanvaller hadden. Dit is het nieuwe archetype van datalekken via derden: cascaderend, toewijsbaar en structureel onmogelijk om te beheersen met maatregelen die de getroffen organisaties zelf hadden kunnen toepassen.

3. MFA-lekken worden niet gedicht.

Slechts 23% van de organisaties van derden heeft ontbrekende of onjuist beveiligde multi-factor authentication volledig hersteld op cloudaccounts. 37% had een beheerdersaccount met uitgeschakelde multi-factor authentication op een IaaS-platform. 32% van de MFA-gerelateerde problemen werd nooit opgelost. De fundamentele controle waarvan de meeste leveranciersrisicokaders uitgaan, ontbreekt bij ongeveer een derde van het leveranciers-ecosysteem — en de onderneming draagt de gevolgen.

4. Compliance scores zijn geen security scores.

Het Black Kite Third-Party Breach Report 2026 vond een gemiddelde cyberbeoordeling van 90,27 (A) bij 200.000 gemonitorde organisaties — toch had 53,77% minstens één kritieke kwetsbaarheid. Onder de 50 meest verbonden gedeelde leveranciers: 70% had een CISA KEV-genoteerde kwetsbaarheid, 84% had kritieke CVSS 8+ kwetsbaarheden, 62% had inloggegevens in stealer logs. Jaarlijkse attesten en certificeringsscores valideren leveranciers die tegelijkertijd exploiteerbaar zijn. Statische vragenlijsten zijn niet ontworpen voor een disclosure-achterstand van 73 dagen.

5. Het architecturale antwoord is een control plane.

E-mail, bestandsoverdracht, MFT, SFTP, API’s, webformulieren en AI-integraties beheerd door één beleidssysteem, één audit log en één beveiligingsarchitectuur — omdat het third-party pad nu het datalekpad is, en gefragmenteerd beheer leidt tot gefragmenteerde forensische analyses.

Je vertrouwt erop dat je organisatie veilig is. Maar kun je het verifiëren?

Lees nu

Het MFA-probleem: Drieëntwintig procent herstel is geen herstel

Het DBIR 2026 bevat een stille maar vernietigende bevinding over third-party MFA-hygiëne. Slechts 23% van de organisaties heeft ontbrekende of onjuist beveiligde multi-factor authentication volledig hersteld op cloudaccounts. De mediaan van de tijd om 50% van de MFA-gerelateerde bevindingen op te lossen was ongeveer een maand, waarbij ongeveer 32% van de problemen nooit werd opgelost. Voor zwakke wachtwoorden en verkeerde machtigingsconfiguraties liep de mediaan van de tijd om 50% van de bevindingen op te lossen op tot bijna acht maanden.

Een afzonderlijke momentopname wees uit dat 37% van de organisaties een beheerdersaccount had met uitgeschakelde multi-factor authentication op een IaaS-platform — tegenover slechts 14% met hetzelfde probleem op Snowflake, wat suggereert dat ondernemingen hebben geleerd van eerdere cloud data warehouse-incidenten, maar niet van het bredere IaaS-landschap. Het WEF Global Cybersecurity Outlook 2026 beschrijft dit vanuit het perspectief van de onderneming: het grootste supply chain cyberrisico in elke sector is ofwel het overname-risico (onvermogen om de integriteit van third-party software en diensten te waarborgen) of zichtbaarheid (onvermogen om inzicht te krijgen in de uitgebreide supply chain). Beide beschrijven hetzelfde structurele probleem — de onderneming is afhankelijk van controles die ze niet bezit en niet direct kan verifiëren.

Compliance is geen security: de Black Kite-bevinding

Gemiddelde cyberbeoordeling bij 200.000 gemonitorde organisaties: 90,27 (A). Aandeel met minstens één kritieke kwetsbaarheid: 53,77%. Onder de 50 meest verbonden gedeelde leveranciers: 70% had een CISA KEV-genoteerde kwetsbaarheid, 84% had kritieke CVSS 8+ kwetsbaarheden, 62% had bedrijfsinloggegevens in stealer logs, 80% toonde phishing-blootstelling, 52% had een eerdere datalekgeschiedenis.

Black Kite documenteerde 136 geverifieerde third-party datalekken in 2025 met 719 publiekelijk genoemde slachtofferbedrijven — en schat dat ongeveer 26.000 extra getroffen bedrijven nooit publiekelijk zijn geïdentificeerd. Mediaan van de tijd van datalek tot publieke bekendmaking: 73 dagen. Een leveranciersrisicoprogramma gebaseerd op jaarlijkse attesten, certificeringsstatus of compliance scores heeft 73 dagen geen signaal na het datalek. De gegevens zijn dan al verplaatst.

JLR en de kosten van cascaderende blootstelling

Het DBIR 2026 documenteert de economisch meest schadelijke cyberaanval in de Britse geschiedenis: de ransomware-aanval op Jaguar Land Rover eind 2025. Vijf weken stilgelegde productie. Geschatte schade voor JLR: £1,9 miljard. Effect op de keten: circa 5.000 entiteiten in de toeleveringsketen. Het Britse BBP bleef 0,1% achter op de prognose, waardoor de overheid ingreep met leningen om JLR en zijn leveranciers te ondersteunen.

JLR is het single-incident voorbeeld van waarom third-party datalekken op macro-economische schaal relevant zijn. Die 5.000 entiteiten hadden geen zwakke beveiliging — ze hadden een verbinding met een centraal knooppunt dat dat wel had. Het model van cascaderende uitval wordt nu op BBP-niveau vastgelegd. De meeste third-party risicoanalyses behandelen elke leverancier als een onafhankelijke blootstelling die op eigen merites wordt beoordeeld. Het werkelijke patroon is een netwerk: een compromittering op één knooppunt verspreidt risico over alle verbonden knooppunten. Black Kite noemt dit concentratierisico; het WEF noemt het overname-risico; het DBIR noemt het de regel van drie. Ze beschrijven hetzelfde fenomeen.

Waarom AI-integratie de nieuwe dimensie is van het third-party probleem

Elke AI-integratie is een nieuw third-party datapad. De Salesloft Drift-case was een OAuth-tokencompromittering die via cloud-integratie machtigingen cascadeerde. Elke MCP-server, elke AI-plugin, elke agentische AI-workflow die bedrijfsgegevens verwerkt via een externe dienst werkt volgens hetzelfde model — gedelegeerde toegang via tokens, waarbij de AI-dienst wordt vertrouwd om de scope en auditverplichtingen na te leven.

Het CrowdStrike Global Threat Report 2026 bevestigt dit: statelijke actoren misbruiken in toenemende mate legitieme identiteitsconstructies — federatie, partner-tenants, OAuth, voorwaardelijke toegang — om langdurige, stille toegang tot gevoelige gegevens te behouden. Naarmate AI-integraties toenemen, groeit het aantal van deze gedelegeerde toegangspaden navenant, en elk vormt een potentieel cascadepunt. De AI-governancevraag is identiek aan de third-party vraag: wanneer een externe dienst tokens bezit die toegang geven tot bedrijfsgegevens, hoe zorgt de onderneming dat die toegang beperkt, tijdsgebonden, geaudit en herroepbaar blijft — ongeacht wat er in de omgeving van de externe dienst gebeurt?

De architecturale respons: één control plane, elk datakanaal

Beveiliging per kanaal voor elke vorm van gegevensuitwisseling leidt tot gefragmenteerd inzicht en inconsistente handhaving. Eén platform voor beveiligde e-mail, een ander voor MFT, een derde voor SFTP, een vierde voor webformulieren, een vijfde voor API’s, een zesde voor AI-integraties: zes beleidssystemen, zes audit logs, zes beveiligingsstatussen. Wanneer het third-party datalek plaatsvindt, is de forensische vraag via welk kanaal de cascade liep — en het antwoord vereist het correleren van logs uit systemen die daar niet voor zijn ontworpen.

Het control plane-model vereenvoudigt dit. Het Kiteworks Private Data Network beheert elk kanaal voor gegevensuitwisseling onder één beleidssysteem, één geconsolideerde audit log en één versterkte beveiligingsarchitectuur. Relevante architecturale uitgangspunten zijn onder meer: één beleidssysteem dat consistente rolgebaseerde en op attributen gebaseerde toegangscontrole toepast op elk kanaal; OAuth 2.0 met PKCE voor AI- en third-party integraties, met tokens opgeslagen in de OS-sleutelhanger en nooit blootgesteld aan de aanroepende applicatie; een geconsolideerde audit log die elke activiteit met gegevensuitwisseling in real time vastlegt zonder throttling of vertraging; single-tenant isolatie in een hardened virtual appliance die cross-tenant blootstelling uitsluit; en defense-in-depth vanaf het apparaat — ingebouwde firewall, WAF, IDS, FIPS 140-3 dubbele encryptie en one-click volledige systeemupdates.

Het architecturale principe: de gegevens blijven beheerd op de laag waar ze zich bevinden, ongeacht welk third-party toegangspad ernaar reikt. Wanneer een leverancier wordt gecompromitteerd, is de controle van de onderneming op de data layer — niet op de perimeter van de leverancier.

Wat security- en risicoleiders nu moeten doen

Ten eerste, breng de werkelijke third-party datapaden in kaart binnen de onderneming. De meeste inventarissen noemen leveranciers. Ze noemen geen datastromen — welke leveranciers welke categorieën gegevens beheren, welke integraties welke machtigingen geven, welke OAuth-scopes momenteel actief zijn. De Salesloft Drift-cascade liet zien waarom: organisaties die niet wisten welke Drift-integraties actief waren op hun Salesforce-instances, ontdekten dit pas tijdens incident response, niet ervoor.

Ten tweede, beschouw compliance scores als één input, niet als validatie. Leveranciers met een A-score hebben routinematig kritieke blootstellingen. Continue monitoring van het aanvalsvlak, monitoring van credential-exposure op dark web-bronnen en contractuele meldtermijnen voor datalekken vullen het certificeringsmodel aan — ze vervangen het niet.

Ten derde, consolideer gegevensuitwisselingskanalen waar consolidatie het risico beperkt. Elk gefragmenteerd kanaal is een potentieel cascade-ingangspunt via derden. Eén beheerde control plane — één aanvalspad met consistente handhaving — is structureel beter verdedigbaar dan vijf tools met vijf onafhankelijke beveiligingsstatussen.

Ten vierde, eis multi-factor authentication op elk beheerdersaccount op elk IaaS-platform dat de onderneming gebruikt — en verifieer dit. Het 37%-gat dat het DBIR documenteerde zit in de eigen configuraties van de onderneming, niet alleen bij de leverancier. Dit is de goedkoopste en snelste verbetering binnen het hele third-party risicobeeld.

Ten vijfde, bouw auditklare bewijslast van elke cross-organisatorische gegevensbeweging op vóór het volgende leveranciersdatalek wordt gemeld. Het forensisch bewijs bestaat of het bestaat niet. Het achteraf opbouwen — met al een achterstand van 73 dagen — is aanzienlijk duurder dan het vooraf opbouwen.

Meer weten over het beschermen van gevoelige gegevens tegen third-party risico? Plan vandaag nog een persoonlijke demo.

Veelgestelde vragen

Datalekken waarbij derden betrokken zijn stegen met 60% jaar-op-jaar en vormen nu 48% van alle datalekken. De Salesloft Drift OAuth-cascade naar Google, Zscaler, Cisco en anderen is het klassieke voorbeeld. Third-party datalekken zijn niet langer een nevenrisico — ze vormen bijna de helft van het probleem, en het multi-archetype combinatiepatroon betekent dat standaard single-vendor risicomodellen niet langer passen bij werkelijke incidenten.

Elke delegated-access integratie — OAuth-tokens, MCP-servers, AI-plugins, partner-API’s — is een potentieel cascadepunt. Het DBIR documenteert dat combinaties van leverancierscompromittering nu de norm zijn. Beperking vereist het inventariseren van werkelijke datastromen (niet alleen leverancierslijsten), tokens nauw afbakenen, monitoring op credential-exposure in stealer logs en het consolideren van gegevensuitwisseling onder één uniforme audittrail.

Certificeringen zijn een nuttige basis — geen validatie. Het Black Kite-rapport 2026 vond een gemiddelde cyberbeoordeling van 90,27 (A) bij 200.000 organisaties, maar toch had 53,77% kritieke kwetsbaarheden. Continue monitoring van het aanvalsvlak, monitoring van credential-exposure en contractuele meldtermijnen voor datalekken moeten het certificeringsmodel aanvullen — niet vervangen.

Toezichthouders verwachten aantoonbaar bewijs van inzicht in datastromen en auditklare logs van cross-organisatorische gegevensbewegingen. De Black Kite mediaan disclosure-achterstand van 73 dagen betekent dat ondernemingen vaak pas laat horen van een leverancierscompromittering. Een geconsolideerde audit log over alle kanalen voor gegevensuitwisseling is het praktische fundament voor dat bewijs — en het verschil tussen een verdedigbare compliance status en een juridische aansprakelijkheid onder GDPR Artikel 30 en HIPAA.

Consolidatie brengt vijf beleidssystemen, vijf audit logs en vijf beveiligingsstatussen terug naar één van elk. De cascadepatronen uit het DBIR pleiten hier direct voor: als een datalek zich over kanalen verspreidt, moet het forensisch bewijs dat ook doen. Het Kiteworks Private Data Network biedt deze control plane over e-mail, bestandsoverdracht, SFTP, MFT, API’s, webformulieren en AI-integraties onder één beleidssysteem en één onveranderlijke audit log.

Aanvullende bronnen 

  • Blog Post
    Hoe ontwerp je een veilige workflow voor bestandsoverdracht voor leveranciers en aannemers?
  • Blog Post
    Het belang van Vendor Risk Management voor CISO’s
  • Blog Post
    Hoe bescherm je intellectueel eigendom bij samenwerking met externe partijen?
  • Blog Post
    Bestrijd bedreigingen met supply chain-beveiliging & risicobeheer
  • Blog Post
    Partnerdatalekken: Je bent slechts zo sterk als je zwakste partner

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks