De aanval die niet van u komt: wanneer criminelen via uw leverancier binnenkomen

In 2020 ontdekten onderzoekers iets verontrustends. Een softwarebedrijf genaamd SolarWinds leverde een netwerkbeheerprogramma dat door duizenden organisaties wereldwijd werd gebruikt: overheden, technologiebedrijven, grote ondernemingen. Aanvallers hadden zich genesteld in dat bedrijf en een reguliere software-update besmet met malware.

Elke organisatie die die update installeerde, iets wat je normaal doet om veilig te blijven, haalde de aanvallers zelf binnen. Niemand merkte het maandenlang.

Dit noemen we een supply chain-aanval: in plaats van u direct aan te vallen, gaan aanvallers via iemand van wie u afhankelijk bent.

Waarom is dit zo gevaarlijk?

Uw eigen beveiliging beschermt u alleen tegen aanvallen die rechtstreeks op u gericht zijn. Maar als een aanvaller uw IT-partner comprometteert, heeft die partner toegang tot uw systemen via verbindingen die u zelf heeft goedgekeurd en vertrouwt.

Vanuit het perspectief van uw systemen ziet het er gewoon legitiem uit. Er is geen phishingmail die iemand moest klikken. Geen verdacht wachtwoord. Gewoon uw vertrouwde IT-partner die inlogt.

Hoe ziet dit eruit in de praktijk?

Via uw IT-beheerder. Veel kmo’s werken met een externe IT-partner die op afstand hun systemen beheert. Als die partner gecompromitteerd wordt, heeft de aanvaller rechtstreeks toegang tot alle klanten van die partner, inclusief u.

Via software-updates. Zoals bij SolarWinds: een update van een programma dat u vertrouwt, bevat kwaadaardige code. U installeert het zelf.

Via een leverancier die uw data verwerkt. Een boekhoudpakket, een CRM-systeem, een HR-tool. Als die gehackt wordt, zijn uw klantgegevens of financiële data ook betrokken, ook al is uw eigen netwerk perfect beveiligd.

Wat kunt u doen?

U kunt uw leveranciers niet volledig controleren. Maar u kunt wel de impact beperken als het misgaat.

Weet wie toegang heeft tot uw systemen. Maak een lijstje van alle externe partijen die kunnen inloggen of uw data verwerken. Dat zijn uw kwetsbare punten.

Beperk wat ze mogen doen. Een IT-partner die uw printers beheert, hoeft geen toegang te hebben tot uw boekhoudsysteem. Geef iedereen enkel de toegang die strikt noodzakelijk is.

Stel vragen aan uw leveranciers. Hoe beveiligen zij hun eigen omgeving? Hebben ze twee-staps verificatie? Wat doen ze als er iets misgaat? Een leverancier die deze vragen niet serieus neemt, is een risicofactor.

Trek toegang in als de samenwerking stopt. Klinkt logisch, maar het wordt vaker vergeten dan u denkt. Oude accounts van ex-partners zijn een geliefd doelwit.

Zorg dat u snel kunt reageren. Als een leverancier gehackt wordt en u verwittigt, moet u snel kunnen handelen: toegang blokkeren, verdachte activiteit controleren, schade beperken. Dat lukt enkel als u weet wie toegang had en tot wat.

Dit raakt ook NIS2

Als uw organisatie onder NIS2 valt, bent u verplicht uw leveranciers mee te nemen in uw risicoanalyse. Dat is geen toeval. Wetgevers hebben gezien hoe groot de impact van supply chain-aanvallen kan zijn.

---

Wilt u weten hoe kwetsbaar uw organisatie is via haar leveranciers? Dat is precies het soort vraag dat we beantwoorden tijdens een security gesprek met Safebyte. Geen verplichtingen, geen verkooppraatje.