Cybersecurity in supply chain: wat is het probleem?

Q&A met John Pescatore, SANS Director of Emerging Security Trends

John Pescatore, SANS Director of Emerging Security Trends
John Pescatore, SANS Director of Emerging Security Trends

Welke specifieke beveiligingsuitdagingen brengt de supply chain met zich mee?

Het grootste probleem is dat beslissingen over de toeleveringsketen maar al te vaak genomen worden zonder dat het veiligheidsteam betrokken wordt, of zonder dat er zelfs maar aan veiligheid gedacht wordt. Leveranciers en partners worden doorgaans beoordeeld op financiële risico's, maar niet op de cyberveiligheidsrisico's die het gebruik van hun producten of diensten, of het online verbinden met hen, met zich meebrengen.

 

Wat hebben organisaties tot hiertoe geleerd uit incidenten uit het verleden, zoals bijvoorbeeld bij SolarWinds of Okta?

Vaak is het pas wanneer ze geconfronteerd worden met een breach of inbreuk dat organisaties beseffen dat ze verschillende problemen hebben met betrekking tot de beveiliging van hun supply chain:

  1. Niet zeker weten hoeveel leveranciers ze hebben of waar er diensten, producten of verbindingen van derde partijen gebruikt worden;
  2. Een te sterke focus op financiële risico-indicatoren en contractuele procedures, zoals de vereiste voor alle leveranciers om een bedrijfsverzekering te hebben in de hoop dat die de kost van mogelijke incidenten dekt;
  3. Het besef dat zelfs de meest robuuste programma’s voor supply chain management van fysieke producten, bijvoorbeeld in productie en retail, niet werken voor software.

 

Welke stappen hebben ze vervolgens ondernomen? 

We zien dat organisaties vaker gebruikmaken van diensten als BitSight, Prevalent, Risk Recon en Security Scorecard om hun risico’s inzake cyberveiligheid te evalueren. Die spelers kunnen het risico enkel inschatten op basis van extern zichtbare parameters, maar kunnen wel snel reageren bij een veranderende risicostatus. 

De toegang voor third-party leveranciers is veel veiliger gemaakt door multifactorauthenticatie in te voeren voor alle toegang vanop afstand, wat phishingaanvallen bemoeilijkt.

 

Welke stappen kunnen er nog gezet worden?

Hoewel het bewustzijn groeit, speelt veiligheid vaak nog niet mee bij de partnerkeuze in de supply chain. Organisaties moeten ook beter worden in het herkennen van de risico’s die verbindingen met leveranciers kunnen betekenen voor hun businessprocessen.

 

Hoe zal de dreiging evolueren?

AI en machine learning-tools zullen door aanvallers gebruikt worden om gerichtere aanvallen op te zetten. Daartegenover staat dat diezelfde technologieën door capabele verdedigers gebruikt kunnen worden om verdachte zaken sneller en nauwkeuriger te detecteren.

 

Welke stappen kunnen organisaties ondernemen om hun toeleveringsketen te beveiligen en zich voor te bereiden op toekomstige dreigingen?

Het veiligheidsaspect moet door de aankoopdienst in overweging genomen worden bij elke supply chain-gerelateerde beslissing. Er dient ingezet te worden op de juiste tools en het aanleren van de juiste skills om snelle veiligheidsevaluaties te kunnen uitvoeren zonder voor onderbrekingen of vertragingen te zorgen, en om potentieel risicodragende partners te monitoren wanneer het bedrijf niet zonder hen kan.

 

 

Over het SANS Institute

Het SANS Institute werd in 1989 opgericht als een coöperatieve organisatie voor onderzoek en opleiding. Vandaag is SANS de meest vertrouwde en veruit grootste aanbieder van cybersecuritytrainingen en -certificeringen voor professionals in publieke en private instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 cursussen op fysieke en virtuele cybersecurity-events en op aanvraag.

GIAC, een dochteronderneming van het SANS Institute, valideert de vaardigheden van professionals door middel van meer dan 35 praktijkgerichte, technische certificeringen in cyberbeveiliging en biedt wereldwijd de hoogste en meest rigoureuze garantie inzake kennis en vaardigheden op vlak van cyberbeveiliging. Het SANS Technology Institute, een regionaal geaccrediteerde onafhankelijke dochteronderneming, biedt master- en bachelordiploma's, graduaten en een ondergraduaat in cyberbeveiliging aan. SANS Security Awareness, een divisie van SANS, biedt organisaties een complete en uitgebreide oplossing voor bewustwording rond beveiliging zodat zij hun ‘menselijke’ risico's op het gebied van cyberdreiging eenvoudig en effectief kunnen beheren. SANS levert ook een grote verscheidenheid aan gratis middelen aan de InfoSec-gemeenschap, waaronder consensusprojecten, onderzoeksrapporten, webcasts, podcasts en nieuwsbrieven. Verder beheert SANS ook het vroegtijdige internet-waarschuwingssysteem, het Internet Storm Center. 

De kern van SANS wordt gevormd door de vele beveiligingsprofessionals die uiteenlopende organisaties van over de hele wereld vertegenwoordigen - van bedrijven tot universiteiten - die samenwerken om de wereldwijde cybersecuritygemeenschap te ondersteunen en informeren. 

www.sans.org

 

Paul Geens

Paul Geens

PR consultant, Evoke

 

Persberichten in je mailbox

Door op "Inschrijven" te klikken, bevestig ik dat ik het Privacybeleid gelezen heb en ermee akkoord ga.

Over Evoke

Scoren in de pers boost sales en Evoke helpt bedrijven hierbij. Samen met de klant halen we nieuws uit hun onderneming om dit onder de aandacht van de media te brengen. In de vorm van een persbericht, klantengetuigenis of opiniestuk, of via een interview of persconferentie, verstrekken we het nieuws duidelijk en gebruiksklaar aan de juiste journalist(en). Zo leest of leert het brede publiek in een geloofwaardig kader over onze klanten in de krant, op de radio of op televisie.

Contact

Witte Patersstraat 4 1040 Brussel

+32 (0)2 740 43 32

info@evokepr.be

www.evokepr.be