Supplychain-aanvallen raken bijna alle Benelux-bedrijven
Aanvallen via externe leveranciers en producenten van intern gebruikte ICT-middelen zijn populair bij cybercriminelen. In de Benelux heeft maar liefst 96% van de organisaties te maken gehad met een cyberaanval als gevolg van kwetsbaarheden in hun toeleveringsketen, zo blijkt uit onderzoek. "Elke integratie met de buitenwereld kan kwetsbaar zijn."
© Shutterstock.com
Shutterstock.com
Het gaat hierbij ook niet om een enkele aanval, zo merkt BlueVoyant op. Dit securitybedrijf heeft wereldwijd onderzoek laten uitvoeren door Opinion Matters. In het tweede, nu gepubliceerde onderzoek naar supplychainrisico's komt naar voren dat veel bedrijven kampen met beveiliging bij hun toeleveranciers. In de Benelux heeft dus 96% van de ondervraagde bedrijven tenminste één cyberaanval via kwetsbaarheden in hun toeleveringsketenover zich heen gekregen. Wereldwijd ligt dat op 93%.
Niet in beeld hebben
Iets meer dan de helft van de organisaties (52%) kreeg twee tot vijf aanvallen via hun keten van toeleveranciers. Bijna een derde (27%) zelfs zes tot tien keer. Ondanks die aantallen is er opvallend weinig aandacht voor dit soort cyberaanvallen, stelt BlueVoyant. Uit het onderzoek komt namelijk naar voren dat in de Benelux 42% van de bedrijven de cyberrisico’s van derden niet op hun radar hebben staan.
Ook op dat punt scoren België, Nederland en Luxemburg hoger dan het wereldwijde gemiddelde. In andere landen geeft 29% van de respondenten aan dat ze cyberrisico’s van derden niet in beeld hebben. Slechts een kwart zegt dat cyberrisico’s van derden een belangrijke prioriteit is voor hun organisatie. "Terwijl bedrijven hun interne verdediging versterken, is hun zwakke schakel vaak dat hun netwerk verbonden is met dat van een leverancier of vendor, ofwel de toeleveringsketen", vertelt marketingdirecteur Richard Wolters van BlueVoyant aan AG Connect.
"Interne beveiliging beperkt de mogelijke aanvalsvectoren tot een minimum, maar de regel is: elke integratie met de buitenwereld kan kwetsbaar zijn, en kan potentieel worden misbruikt door derden." Dit geldt, zo waarschuwt Wolters, zelfs als organisaties hun interne beveiliging op orde hebben. "Om zichzelf zo goed mogelijk te beschermen, moeten bedrijven zich verdedigen tegen aanvallen in zowel hun interne als externe ecosysteem."
Solar Winds, Kaseya, Okta
Een securitygevoelig bedrijf als ASML voert bewust een securitybeleid ten aanzien van zijn keten van toeleveranciers en partners met controles maar ook antihacklessen. Geruchtmakende hacks van de laatste tijd zoals die bij IT-toeleveranciers Solar Winds, Kaseya en Okta hebben echter duidelijk gemaakt dat de aanpak van ASML een uitzondering is. Het BlueVoyant-onderzoek bevestigt dat beeld: 91% van de organisaties controleert hun externe leveranciers niet op cybersecurityrisico's. Ook heeft 43% geen idee of er problemen zijn bij derde partijen waar ze mee verbonden zijn. Het geval van Okta was een praktijkvoorbeeld waarin er -ten onrechte- werd vertrouwd op aanvankelijke geruststellingen van diens toeleverancier.
Voor het BlueVoyant-onderzoek naar risicobeheer bij toeleveranciers (third party cyber risk management) zijn 1650 CIO's (chief information officers), CISO's (chief information security officers) en CPO's (chief product officers) ondervraagd die verantwoordelijkheid dragen voor het cyberrisicobeheer in hun toeleveringsketen. Onder deze IT-leidinggevenden bevonden zich 277 respondenten uit de Benelux.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee