Bestrijd bedreigingen met beveiliging van de toeleveringsketen en risicobeheer

Bedreigingen voor uw bedrijf komen van alle kanten: medewerkers, leveranciers en hackers. Hier wordt beveiliging van de toeleveringsketen essentieel voor een robuuste beveiligingsstrategie.

Wat is beveiliging van de toeleveringsketen? Het is een term die omvat hoe de toeleveringsketen van een bedrijf fysieke en digitale bedreigingen zowel intern als extern kan verminderen. Deze bedreigingen kunnen variëren van fysieke diefstal tot hackers die uw netwerk binnendringen.

Wat is beveiliging van de toeleveringsketen voor IT- en datasystemen?

Historisch gezien verwees de term “toeleveringsketen” naar een specifieke set logistieke praktijken rondom het verplaatsen van goederen en diensten van de ene locatie naar de andere—dat wil zeggen, het had een specifieke fysieke context. Ook vandaag de dag wordt “toeleveringsketen” vaak gebruikt voor de verzending, logistiek, het vrachtvervoer en de transportroutes die de verplaatsing van goederen van de ene plek naar de andere ondersteunen.

In termen van digitale systemen en infrastructuur verwijst de toeleveringsketen ook naar de hardware, software, cloudplatforms en beveiligingsmaatregelen die nodig zijn om datagedreven bedrijven en overheidsorganisaties te ondersteunen. Deze toeleveringsketens beheren de verplaatsing van misschien wel het meest kritieke bezit dat een organisatie in onze moderne digitale wereld heeft: data. Grote digitale toeleveringsketens zijn onder andere te vinden in de bancaire en financiële sector, overheidsdiensten en defensiecontracten.

Er zijn overeenkomsten tussen traditionele en digitale toeleveringsketens. Veel producenten vertrouwen bijvoorbeeld op upstream-toeleveringsketens waarbij componenten naar een centrale locatie stromen om de productie van grotere objecten, zoals auto’s en industriële apparatuur, te ondersteunen. Op dezelfde manier vertrouwt de digitale toeleveringsketen op de stroom van cloud- en beheerde diensten om grotere operaties in eerder genoemde sectoren te ondersteunen. Platforms zoals Salesforce, Microsoft Azure of Office 365 en AWS Cloud Services bieden functionaliteiten zoals opslag, analytics, beveiliging, netwerkondersteuning en -analyse, en zelfs AI of machine learning aan bedrijven die deze integreren in hun bredere logistiek.

IT-professionals zijn zich de afgelopen jaren sterk bewust geworden van het toenemende aantal digitale aanvallen op de toeleveringsketen. Door de staat gesteunde aanvallen op digitale toeleveringsketens, met name via upstream-hacks, vormen het primaire strijdtoneel in moderne cyberoorlogsvoering. Als reactie hierop is risicobeheer toeleveringsketen nu een strategische taak voor veel organisaties.

We zien diverse veelvoorkomende vormen van bedreigingen en kwetsbaarheden die steeds meer impact hebben op digitale toeleveringsketens:

1. Beveiligingsgaten uitbuiten: Zelfs als technologie zich ontwikkelt, blijven veel van onze slechtste praktijken bestaan. Een van de meest voorkomende manieren waarop hackers toegang krijgen tot systemen voor kwaadaardige doeleinden is door bugs, achterdeurtjes of bekende kwetsbaarheden te misbruiken die om wat voor reden dan ook worden genegeerd.
2. Leveranciersrelaties: De gevolgen van moderne hacks beperken zich niet tot het bedrijf zelf. Veel cloudproviders hebben een uitgebreide klantenkring, waaronder private bedrijven en overheidsinstanties. Aanvallen op cloudinfrastructuur kunnen een domino-effect veroorzaken vanwege relaties met diverse bedrijven en organisaties.
3. Gebrek aan kennis of training: Helaas is een van de zwakste schakels in elke digitale toeleveringsketen meestal de mens. Een gebrek aan training in het kiezen van sterke wachtwoorden en het herkennen van phishing-aanvallen kan leiden tot volledige ontwrichting van een bedrijf en zijn klanten.
4. Advanced Persistent Threats (APT’s): De meest bedreigende vorm van een beveiligingsincident is een APT. Deze bedreigingen infecteren en vernietigen een systeem niet simpelweg. Het zijn complexe programma’s die zich in een systeem nestelen, zich lateraal door een organisatie bewegen en vervolgens upstream gaan, terwijl ze detectie vermijden. Eenmaal binnen kunnen ze alle systeemgebeurtenissen monitoren om data te stelen, soms weken, maanden of zelfs jaren voordat ze worden ontdekt.

Datalekken zijn kostbare gebeurtenissen die uw bedrijf volledig kunnen ontwrichten, evenals die van uw partners. Volgens IBM en het Ponemon Institute bedragen de gemiddelde kosten van een datalek $4,24 miljoen, maar dat cijfer houdt geen rekening met de bijkomende kosten in tijd, moeite en reputatie.

Is cyberbeveiliging voldoende voor beveiliging van de toeleveringsketen?

Het korte antwoord is nee. Eenvoudige cyberbeveiligingsmaatregelen raken vaak slechts het oppervlak van de kwetsbaarheden die mogelijk in een toeleveringsketen bestaan. Organisaties moeten zich in plaats daarvan richten op beveiliging op meerdere fronten:

• Screen potentiële leveranciers en evalueer bestaande leveranciersrelaties: Uw leveranciers moeten minimaal aan uw beveiligingseisen voldoen wanneer ze met uw data omgaan. Bovendien moeten ze bereid en in staat zijn hun naleving van uw vereiste aan te tonen via regelmatige beoordelingen en evaluaties. Tot slot moet uw IT-leiding jaarlijkse evaluaties opnemen in alle leverancierscontracten om het risico van derden vast te stellen.
• Actieve cyberbeveiligingstests: U moet regelmatige tests uitvoeren op alle systemen. Dit kan betekenen dat u regelmatig penetratietests uitvoert, red team-oefeningen doet, of een combinatie van duidelijk geplande systeemtests om kwetsbaarheden bloot te leggen in diverse onderling verbonden lagen van uw systeem.
• Regelmatig scannen, monitoren en updaten: U kunt en moet regelmatig kwetsbaarheidsscans uitvoeren naast reguliere tests. Hoewel kwetsbaarheidsscans minder grondig zijn dan penetratietests, kunnen ze vaker worden uitgevoerd om oppervlakkige kwetsbaarheden te detecteren zodra ze ontstaan.
• Begrijp nalevingsnormen: Hoewel nalevingsregels zoals HIPAA en CMMC op zichzelf niet al uw beveiligingsvereiste dekken, bieden ze wel een goed kader van wat experts in uw branche zien als grote bedreigingen en beveiligingsprioriteiten. U kunt bovendien buiten uw branche kijken naar kaders zoals NIST CSF en ISO 27001, om te zien hoe professionals risicobeoordelingen en monitoringpraktijken inzetten om hun systemen te beveiligen.
• Beveilig fysieke locaties: Onderschat niet hoe kwetsbaar uw fysieke locaties kunnen zijn. Een achtergelaten laptop of een niet-afgesloten deur kan aanvallers of kwaadwillende insiders de kans geven om informatie te stelen. Beveilig alle apparaten met wachtwoorden, zorg dat deze apparaten gebruikmaken van versleutelde communicatie en veilige verbindingen, en bescherm datacenters en werkplekken met camera’s en afgesloten deuren.

Wat zijn enkele beste practices voor het bereiken van beveiliging van de toeleveringsketen?

Om beveiliging van de toeleveringsketen goed aan te pakken, is het belangrijk om het grote geheel te begrijpen. Er zijn een paar beste practices om te overwegen bij het beveiligen van uw data in de digitale toeleveringsketen:

• Ken uw bezittingen: U moet in staat zijn om uw bezittingen, data, leveranciers en alle verbindende technologieën en infrastructuur in kaart te brengen. Er mag nooit een reden zijn waarom uw inventaris of catalogus van middelen niet up-to-date is. U kunt niet beschermen wat u niet ziet.
• Omarm risicobeheer: Risicobeheer toeleveringsketen (SCRM) is de kunst en wetenschap van het begrijpen en balanceren van de verschillen tussen uw bestaande beveiligingsmaatregelen, uw potentiële kwetsbaarheden, uw regelgevingseisen en uw bedrijfsdoelen. Een risicogebaseerde aanpak helpt u uw beveiligingslandschap beter te begrijpen en te bepalen waar u problemen moet aanpakken.
• Neem een hands-on benadering van leveranciersrelaties: Zoals eerder vermeld, moet u een duidelijk overzicht hebben van alle leveranciersafspraken en -relaties, inclusief regelmatige audits, beoordelingen en evaluaties bij upgrades of technologische veranderingen. Deze aanpak helpt u uitdagingen te beperken door kwetsbaarheden van partners en upstream cloud- of beheerde diensten.
• Begrijp naleving: Weet aan welke nalevingsnormen u moet voldoen, en probeer deze indien mogelijk te overtreffen om de beveiliging te versterken.
• Streef naar volledige zichtbaarheid: Monitor systemen, systeemgebeurtenissen, technologieën, upgrades en alles wat nodig is om zo goed mogelijk te begrijpen wie toegang heeft tot uw data, wat ze ermee doen en hoe ze deze beschermen. Neem contractanten, leveranciers, partners en zelfs toezichthouders en klanten op in uw monitoring- en verbeterplannen.

Beveiliging van de toeleveringsketen is een collectief goed en verantwoordelijkheid

Beveiliging van de toeleveringsketen is een noodzakelijke praktijk voor elk bedrijf, niet alleen voor grote ondernemingen. Zoals mijn Chief Product Officer zei: “Je bent slechts zo interessant als je meest interessante klant.” Geavanceerde aanvallers—of het nu georganiseerde misdaadsyndicaten of natiestaten zijn—hebben allang geleerd dat ze meer kans hebben om bij uw data te komen via uw partners in de toeleveringsketen.

U kunt het risico in de toeleveringsketen aanzienlijk beperken als u uw regelgeving, infrastructuur en leveranciersrelaties begrijpt. Gebruik beste practices voor risicobeheer toeleveringsketen om uw bredere beveiligingsprogramma op te bouwen of te versterken. Monitor systemen continu, begrijp upgrades en patches, screen en evalueer uw leveranciers en train uw medewerkers voortdurend om kwetsbaarheden zoveel mogelijk voor te blijven.