“as a Service”

Veiligheidsdiensten die de toeleveringsketen van de klant doorlichten, hebben een goede kans van slagen. Beoordelingen van de cyberbeveiliging maken steeds vaker deel uit van leveranciersaudits. Oplossingen voor het kanaal zijn al beschikbaar.

Het is het slechtst denkbare scenario voor alle soorten bedrijven: Bedrijven zijn het minst voorbereid op aanvallen op de toeleveringsketen met hun hoge bestrijdingskosten, aldus het EU-cyberbeveiligingsagentschap ENISA. Aangezien er geen goede oplossing is om zich tegen een aanval op de toeleveringsketen te verdedigen, kan de impact enorm zijn, aldus ENISA. Uiteraard moeten aanvallen op de toeleveringsketen op voorhand worden voorkomen, door de kwetsbaarheid van leveranciers en toeleveranciers te scannen. Tot nu toe zijn veel bedrijven hier echter niet in geslaagd.

Aanvallen op de toeleveringsketen nemen toe

Uit de Sophos-studie “The Impossible Puzzle of Cybersecurity” blijkt bijvoorbeeld dat 75 procent van de ondervraagde IT-managers exploits, ongepatchte kwetsbaarheden of zero-day-dreigingen als het grootste beveiligingsrisico beschouwt. Slechts 16 procent van de IT-managers beschouwt aanvallen op de toeleveringsketen als een risico voor de IT-beveiliging. Aanvallen op de toeleveringsketen zijn een effectieve manier voor cybercriminelen om geautomatiseerde aanvallen uit te voeren waarbij ze een bedrijf selecteren uit een grotere pool van potentiële slachtoffers en vervolgens actief inbreken in die specifieke organisatie met behulp van hand-tot-toetsenbord-technieken om hun doelwit onopgemerkt te bereiken,” aldus Chester Wisniewski, hoofdonderzoekswetenschapper bij Sophos.

Bevoorradingsketencontrole ook bij beveiliging

Bedrijven die IT-producten vervaardigen of configureren voor gebruik in gevoelige gebieden, moeten doeltreffende maatregelen nemen voor de beveiliging van de toeleveringsketen, aldus het BSI (Duits federaal bureau voor informatiebeveiliging). Dit omvat de volledige documentatie van de fabricage- en configuratieprocessen van afzonderlijke componenten, zoals vereist is voor de certificering van slimme meter-gateways door de BSI. Certificeringen kunnen belangrijke vertrouwensankers zijn voor de beveiliging van IT-producten en ook voor de toeleveringsketens en zo het algehele niveau van IT-beveiliging in Duitsland verhogen, aldus het BSI.

Een onveilige toeleveringsketen bestaat bijvoorbeeld wanneer componenten met reeds gecompromitteerde firmware bij de fabrikant aankomen, die ze vervolgens ongetest installeert. Daar zijn in het recente verleden genoeg voorbeelden van geweest, waaronder de smartphones met voorgeïnstalleerde malware waarvoor het BSI waarschuwde.

De risico’s die gepaard gaan met globalisering vereisen van aanbieders een systematische en gedetailleerde aanpak van toeleveringsketenprocessen, legt ook het EU-agentschap ENISA uit. Het risico dat een aanvaller een kwetsbaarheid in de toeleveringsketen introduceert, is niet nieuw, en het is uiterst moeilijk gebleken dit risico te beperken. Een grondige definitie van beveiligingseisen en het volgen van de beste praktijken op het gebied van ‘security-by-design’ moeten centraal staan bij het beperken van deze risico’s.

Naarmate de aanvallen op de toeleveringsketen toenemen, neemt ook de druk op beveiligingsmanagers toe, aldus marktonderzoekers van Gartner. Bedrijven moeten zich voorbereiden op de integratie van beveiliging en risicobeheer in vraag-, aanbod- en productiesystemen, zo blijkt uit de Gartner-studie Get Ahead of the Expanding Risk Frontier: Supply Chain Security. Veel bedrijven kunnen cyberbeveiligingsbeoordelingen bij leveranciers echter niet zelf uitvoeren en hebben daarom een dienstverlener nodig. Dit is precies waar het kanaal ondersteuning en diensten kan bieden als het gaat om leveranciersaudits voor cyberbeveiliging.

Beveiligingsoplossingen voor de toeleveringsketen zijn beschikbaar

Beveiligingsdiensten voor de toeleveringsketen kunnen alle diensten omvatten die aan een bedrijf zelf worden aangeboden, behalve dat ze elders worden verleend, aan de leveranciers en partners van de klant, in coördinatie met de klant en zijn leveranciers die moeten worden gecontroleerd. Zo zijn gecoördineerde penetratietests bij leveranciers even denkbaar als een kwetsbaarheidsanalyse voor het nieuw gecreëerde softwareonderdeel dat de leverancier vóór de klant aan de dienstverlener overhandigt. Enkele voorbeelden van beveiliging van de toeleveringsketen als dienst:

  • Firmware scans:Voor het internet van dingen (IoT) zouden dienstverleners een controle van de firmware van de apparaten kunnen aanbieden die later door de klant wordt geïnstalleerd of geïmplementeerd. De IoT Inspector biedt bijvoorbeeld een bijbehorende IoT-kwetsbaarheidsscanner.
  • Applicatiebeveiligingstests:De Supply Chain Security-oplossing van ZeroNorth biedt meerdere tools voor het scannen van applicaties die zijn ingebed in een uniform platform. De oplossing helpt de beveiliging van de toeleveringsketen te verbeteren door toepassingen in elke fase van de SDLC (Software Development Lifecycle) te testen.
  • Certificaten en handtekeningen:Integrity Security Services helpt bij het implementeren van beveiligingsinfrastructuren voor de hele onderneming om alle sleutels, certificaten en handtekeningen te genereren en te beheren binnen de toeleveringsketen van een product en binnen partnernetwerken. Een gebruikersportaal biedt een eenvoudige interface voor het ondertekenen van software en gegevens, zodat alle productcodes kunnen worden beschermd.
  • Veiligheidsmonitoring:De digitale dreigingsmonitoring van FireEye kan niet alleen op een bedrijf zelf worden toegepast, maar ook op zijn leveranciers en partners. Deze dienst kan worden gecombineerd met andere dreigingsgegevens die potentiële problemen met de geleverde componenten aantonen, om een dreigings- en risicolandschap te ontwikkelen dat verband houdt met de toeleveringsketen. Een dergelijke dienst biedt ook de basis voor een regelmatig bij te werken reputatie- en risicoscore die kan worden gebruikt om potentiële of opkomende problemen op te sporen.

Aanvulling op het onderwerp

Tips van het EU-cyberbeveiligingsagentschap ENISA voor een veilige toeleveringsketen

  • Houd een klein leveranciersbestand zodat u uw leveranciers beter onder controle hebt.
  • Zorg voor in het ontwerp ingebouwde beveiliging om ongeautoriseerde toegang tot de productieomgeving op te sporen.
  • Zorg voor strenge leverancierscontroles.
  • Op gezette tijden controles ter plaatse uitvoeren bij leveranciers en personeel de locaties regelmatig laten bezoeken om een betere controle te waarborgen.
  • Zorgen voor strikte naleving van de rapportagevereisten die in het regelgevingskader van de EU worden voorgeschreven.
  • Zorg voor nauwe samenwerking met onderzoeksautoriteiten in geval van een incident met strafrechtelijke implicaties.

Verwoord verantwoordelijkheid in contracten

In kwaliteitsbeheer is de selectie en controle van leveranciers en onderaannemers een standaardpraktijk. Cyberbeveiliging wordt echter nog niet consequent erkend als onderdeel van de productkwaliteit. Daarom moeten leveranciersaudits in de vorm van cyberbeveiligingsbeoordelingen aan sommige leveranciers worden uitgelegd. Bepaalde industrieën voorzien echter al lang in controles bij hun leveranciers. Een voorbeeld is TISAX (Trusted Information Security Assessment Exchange) in de automobielindustrie.

Of bepaalde beveiligingsoplossingen, procedures of certificaten vereist zijn, moet door de klant worden bepaald. Als dienstverlener controleert u vervolgens de naleving van de contractueel vastgelegde beveiligingseisen. In het contract met de dienstverlener moet ook worden bepaald dat de dienstverlener bepaalde controles voor rekening van de klant mag uitvoeren. Het spreekt vanzelf dat de bepalingen inzake gegevensbescherming en vertrouwelijkheid moeten worden nageleefd.

De verleners van beveiligingsdiensten moeten hun klanten nauwkeurig meedelen dat zij de veiligheid van de leveranciers zullen controleren, maar niet dat zij voor hen in de plaats zullen treden en deze zullen garanderen. Natuurlijk kan het gebeuren dat de gecontroleerde leverancier dan ook veiligheidsdiensten van de dienstverlener verlangt om de vastgestelde leemten op te vullen. Dergelijke aanbiedingen moeten echter altijd strikt gescheiden blijven van de cyberbeveiligingsbeoordeling, omdat veiligheid vertrouwen en onafhankelijkheid vereist.

>