Welke specifieke beveiligingsuitdagingen brengt de supply chain met zich mee?
Het grootste probleem is dat beslissingen over de toeleveringsketen maar al te vaak genomen worden zonder dat het veiligheidsteam betrokken wordt, of zonder dat er zelfs maar aan veiligheid gedacht wordt. Leveranciers en partners worden doorgaans beoordeeld op financiële risico’s, maar niet op de cyberveiligheidsrisico’s die het gebruik van hun producten of diensten, of het online verbinden met hen, met zich meebrengen.
Wat hebben organisaties tot hiertoe geleerd uit incidenten uit het verleden, zoals bijvoorbeeld bij SolarWinds of Okta?
Vaak is het pas wanneer ze geconfronteerd worden met een breach of inbreuk dat organisaties beseffen dat ze verschillende problemen hebben met betrekking tot de beveiliging van hun supply chain:
- Niet zeker weten hoeveel leveranciers ze hebben of waar er diensten, producten of verbindingen van derde partijen gebruikt worden;
- Een te sterke focus op financiële risico-indicatoren en contractuele procedures, zoals de vereiste voor alle leveranciers om een bedrijfsverzekering te hebben in de hoop dat die de kost van mogelijke incidenten dekt;
- Het besef dat zelfs de meest robuuste programma’s voor supply chain management van fysieke producten, bijvoorbeeld in productie en retail, niet werken voor software.
Welke stappen hebben ze vervolgens ondernomen?Â
We zien dat organisaties vaker gebruikmaken van diensten als BitSight, Prevalent, Risk Recon en Security Scorecard om hun risico’s inzake cyberveiligheid te evalueren. Die spelers kunnen het risico enkel inschatten op basis van extern zichtbare parameters, maar kunnen wel snel reageren bij een veranderende risicostatus.
De toegang voor third-party leveranciers is veel veiliger gemaakt door multifactorauthenticatie in te voeren voor alle toegang vanop afstand, wat phishingaanvallen bemoeilijkt.
Welke stappen kunnen er nog gezet worden?
Hoewel het bewustzijn groeit, speelt veiligheid vaak nog niet mee bij de partnerkeuze in de supply chain. Organisaties moeten ook beter worden in het herkennen van de risico’s die verbindingen met leveranciers kunnen betekenen voor hun businessprocessen.
Hoe zal de dreiging evolueren?
AI en machine learning-tools zullen door aanvallers gebruikt worden om gerichtere aanvallen op te zetten. Daartegenover staat dat diezelfde technologieën door capabele verdedigers gebruikt kunnen worden om verdachte zaken sneller en nauwkeuriger te detecteren.
Welke stappen kunnen organisaties ondernemen om hun toeleveringsketen te beveiligen en zich voor te bereiden op toekomstige dreigingen?
Het veiligheidsaspect moet door de aankoopdienst in overweging genomen worden bij elke supply chain-gerelateerde beslissing. Er dient ingezet te worden op de juiste tools en het aanleren van de juiste skills om snelle veiligheidsevaluaties te kunnen uitvoeren zonder voor onderbrekingen of vertragingen te zorgen, en om potentieel risicodragende partners te monitoren wanneer het bedrijf niet zonder hen kan.
John Pescatore, SANS Director of Emerging Security Trends