We gebruiken cookies om je ervaring met onze website te verbeteren. Meer informatie.
WeigerenAccepteren

Wordt je aangevallen?

Cyber bijstand
Sluiten
Stand-by
technical support for enterprise networks

Uw leverancier wordt aangevallen. Uw bedrijf ligt stil. En u had er geen zicht op.

Een vraag die veel directeuren, IT-verantwoordelijken en bestuurders bezighoudt: welke externe partijen hebben op dit moment eigenlijk toegang tot uw netwerk? En wat kunnen zij daar precies doen?

Als u het antwoord niet helemaal scherp heeft, bent u in goed gezelschap. Netwerken groeien. Leveranciers komen en gaan. Koppelingen worden aangelegd voor een project en blijven daarna stilletjes bestaan. Geen kwaad opzet, gewoon de realiteit van hoe organisaties werken.

Precies daarom is de aanval op ChipSoft zo'n ongemakkelijk wake-up call.

Lees het oorspronkelijke bericht op Techzine.nl →

Het ziekenhuis deed niets fout. Dat is precies het probleem.

Afgelopen week werd softwareleverancier ChipSoft getroffen door ransomware. Patiëntenportalen van ziekenhuizen vielen uit. Persoonsgegevens kwamen mogelijk in gevaar. Tientallen zorginstellingen verloren tijdelijk grip op kritieke systemen.

De ziekenhuizen zelf hadden hun beveiliging mogelijk prima op orde. Firewalls stonden. Processen waren ingericht. Maar dat maakte hen niet onaantastbaar, want de kwetsbaarheid zat elders: bij een leverancier waarvan zij volledig afhankelijk waren, en die ze nooit als securityrisico hadden geïdentificeerd.

Dat is het wezen van een supply chain aanval. Aanvallers richten zich niet op het doelwit zelf, maar op een partij die er toegang toe heeft. De toegang is er al. Het vertrouwen is al gegeven. Wat overblijft is een opening die aanvallers met beide handen aangrijpen.

Denk aan het als een inbreker die niet via de voordeur naar binnen gaat, maar via de sleutel die u aan de loodgieter heeft gegeven, en die u daarna bent vergeten terug te vragen.

Volgens ENISA behoren supply chain aanvallen inmiddels tot de snelst groeiende dreigingscategorieën in Europa. Niet omdat de techniek zo nieuw is, maar omdat organisaties structureel onvoldoende zicht hebben op wie er allemaal sleutels heeft.

Meer over supply chain dreigingen via ENISA →

Dit is geen zorgprobleem. Dit speelt bij u ook.

Het nieuws ging over ziekenhuizen. Maar het patroon is universeel. Denk aan:

  • Een productiebedrijf dat zijn planningssoftware uitbesteedt aan een externe leverancier
  • Een maakbedrijf waarvan de OT-omgeving bereikbaar is via een onderhoudspartner die op afstand inlogt
  • Een logistieke organisatie die voor haar vracht beheer afhankelijk is van een extern platform
  • Een zakelijke dienstverlener wiens CRM-systeem draait bij een partij die ook honderden andere klanten bedient

In al deze situaties geldt hetzelfde principe: de grens van uw eigen netwerk is allang niet meer de grens van uw risico. Wie uw systemen kan bereiken, wie uw data kan inzien, wie op afstand wijzigingen kan doorvoeren, al die partijen vergroten uw aanvals oppervlak. Of u zich dat realiseert of niet.

Als morgen een soortgelijke aanval plaatsvindt bij een softwareleverancier voor de industrie of logistiek, ziet het verhaal er identiek uit. Alleen staan er dan andere sectornamen in de kop.

Bestuurders: dit is nu uw verantwoordelijkheid. Letterlijk.

Er is een wetgevend kader dat dit niet langer als optioneel beschouwt. De Cyberbeveiligingswet, de Nederlandse implementatie van NIS2, stelt expliciet dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor onvoldoende cybersecuritymaatregelen. Ketenverantwoordelijkheid maakt daar uitdrukkelijk deel van uit.

Concreet betekent dat: als uw organisatie afhankelijk is van een externe leverancier voor een bedrijfskritisch proces, bent u verantwoordelijk voor de beveiliging in die keten. Niet alleen uw eigen netwerk, maar ook de toegangen die u aan derden heeft verleend, de contractuele afspraken die u heeft gemaakt over beveiliging, en de mate waarin u dat periodiek toetst.

Meer over de Cyberbeveiligingswet (NIS2) en uw verplichtingen →

Veel bestuurders weten dit inmiddels. Wat zij minder goed weten, is of hun organisatie daar in de praktijk ook naar handelt. Dat is een eerlijk verschil, maar wel een relevant één.

Wat er ontbreekt, ziet u pas als het te laat is.

In de gesprekken die wij voeren met directies en IT-verantwoordelijken zien wij een terugkerend patroon. De eigen omgeving is redelijk op orde. Firewalls, antivirusoplossing, back-ups, een IT-verantwoordelijke die alles bijhoudt. Prima.

Wat er structureel ontbreekt is een ander soort overzicht. Niet van uw eigen systemen, maar van alles daaromheen:

  • Welke externe partijen hebben toegang tot welke systemen, en met welke rechten?
  • Wanneer is die toegang voor het laatst beoordeeld?
  • Is er ooit getoetst of uw leveranciers zelf voldoende beveiligd zijn?
  • Wat is het plan als een kritieke leverancier morgen uitvalt of wordt gecompromitteerd?

Dit is geen verwijt. Het is de realiteit van hoe organisaties zijn gegroeid. Systemen zijn toegevoegd, koppelingen zijn gelegd, leveranciers zijn ingehuurd, stap voor stap, zonder dat er ooit een moment was waarop iemand de volledige kaart heeft getekend.

Maar die kaart is precies wat ontbreekt. En zolang die er niet is, is het onmogelijk te weten waar uw werkelijke risico ligt.

Grip begint met een eerlijk beeld. Niet met meer tooling.

De oplossing is niet het afsluiten van alle externe verbindingen. Dat is operationeel niet realistisch en zou uw organisatie verlammen. De oplossing is het structureel in kaart brengen en beheersen van die verbindingen. Een kaart die actueel blijft, niet één die u één keer tekent en in een la legt.

Dat vraagt om drie concrete stappen:

  • Een volledig beeld van alle externe toegangen: wie heeft er toegang tot uw netwerk, op welke manier, en met welke rechten?
  • Een risicobeoordeling per verbinding: hoe kritiek is deze leverancier voor uw bedrijfsproces, en wat is de impact als die partij uitvalt of wordt aangevallen?
  • Passende maatregelen: toegangen beperken of beter monitoren, contracten aanscherpen, en een scenario uitwerken voor als een leverancier wegvalt

Dit is geen eenmalig project. Leveranciers veranderen. Koppelingen worden toegevoegd. Toegangen worden verleend en soms, eerlijk is eerlijk, vergeten. Wie dit niet periodiek toetst, werkt met een kaart die al verouderd is op het moment dat die klaar is.

De organisaties die dit goed geregeld hebben, bellen niet naar aanleiding van het nieuws.

Supply chain aanvallen nemen toe, worden complexer en zijn moeilijker te detecteren dan directe aanvallen op de eigen omgeving. Dat maakt het urgent om hier niet op te wachten, maar proactief te handelen.

Organisaties die dit goed geregeld hebben, herken je aan één ding: zij worden niet verrast. Niet omdat zij geluk hebben, maar omdat zij structureel het volgende op orde hebben:

  • Een actueel en volledig beeld van hun externe afhankelijkheden
  • Periodieke toetsing van leveranciers op security vereisten
  • Actieve monitoring van verkeer via externe verbindingen
  • Een uitgewerkt plan voor als een kritieke leverancier wegvalt of wordt gecompromitteerd

Dat klinkt als veel. In de praktijk is het een kwestie van structuur en discipline, niet van technologische complexiteit. Het begint met één eerlijke vraag: weet ik wie er van buitenaf bij onze systemen kan, en wat er gebeurt als die partij morgen wordt aangevallen?

Als het antwoord twijfelachtig is, is dat het gesprek om te starten.

Terug naar overzicht
Andere artikelen
Wat betekent NIS2 voor middelgrote organisaties?
Van incidentgedreven naar structurele security: hoe u de cirkel doorbreekt
Waarom netwerkarchitectuur cruciaal is voor cybersecurity
Wanneer het AI-platform zelf het lek is
Structurele uitvoering van netwerk- en securityomgevingen
cybersecurity services Netherlands
Diensten
Managed SecuritySupportConsultancy
Snelle links
CasesArtikelenOver
Snel naar
VacaturesContactCyberincident
Contact
085 - 06 03 228
info@cyberpeak.nl
Blijf op de hoogte
Portal
© CyberPeak 2024
Algemene voorwaardenPrivacyCookies
enterprise cybersecurity support