Share

Santosh Sharman: ‘Ook leveranciers van organisaties verantwoordelijk voor cyberveiligheid’

Binnenlands Bestuur maakte eerder deze maand bekend dat cybercriminelen bij een hack bij een ICT-leverancier de persoonsgegevens van in totaal 4500 mensen met een zogeheten rijkspas hebben buitgemaakt. Daarbij gaat het niet alleen om ambtenaren, maar ook om journalisten. De gegevens zijn volgens staatssecretaris Van Huffelen (Digitalisering) inmiddels op het darkweb geplaatst.

Santosh Sharman: “De diefstal van de gegevens van deze rijkspasgebruikers kan leiden gevaarlijke situaties. De hacker, of iemand die deze gegevens via het darkweb in handen krijgt, kan zich hiermee voordoen als iemand anders en zo toegang krijgen tot een belangrijke asset van de rijk. Als die asset vervolgens wordt gecompromitteerd, kan er van daaruit een veel grotere hack worden gepleegd. Iemand zou zich bijvoorbeeld kunnen voordoen als iemand van de facilitaire dienst van de Tweede Kamer en zichzelf fysiek toegang verschaffen tot bijvoorbeeld de serverruimte. Als dat lukt, dan zijn de gevolgen mogelijk niet te overzien.

Minste weg van de weerstand

Hoewel het bovenstaande een worst case scenario is, geeft het wél een goed idee van wat er mis kan gaan als een leverancier van een belangrijke organisatie wordt geraakt door een cyberaanval. Organisaties hebben verschillende leveranciers voor allerlei zaken, ook voor ICT-middelen. Omdat er interactie is tussen organisaties en deze leveranciers is het een mogelijke broedplek voor cyberkwetsbaarheden. Hackers zoeken altijd de weg van de minste weerstand om hun doel te bereiken. Als dat via een leverancier is, zullen ze deze mogelijkheid zeker benutten. Dit staat bekend als een supply chain attack,’ aldus Santosh Sharman

De verantwoordelijkheid ligt voor de cyberveiligheid van een organisatie daarom niet alleen bij de organisatie zélf, maar ook bij hun leveranciers. Organisaties moeten daarom ook in hun leveranciersketen orde op zaken stellen om mogelijke supply chain aanvallen te voorkomen. Enkele concepten die hierbij houvast kunnen bieden zijn:

  • Zero trust architecture met strikte policies voor leveranciers;
  • Risicoanalyses om zoveel mogelijk insider threats te identificeren;
  • Naleven van actuele cybersecurityrichtlijnen en op basis daarvan certificering tegen relevante kwaliteitsnormen.

Santosh Sharman is Product Manager IoT Security bij Kiwa

Heeft u dit ook al gelezen?