Houdt u al rekening met de mogelijkheid dat ransomware via leveranciers de IT-infrastructuur van uw organisatie binnenkomt? In deze blog leggen we uit waarom dit een te belangrijk risico is om over het hoofd te zien, en geven we tips om het risico te verkleinen.
SolarWinds en Kaseya, het zijn namen die waarschijnlijk bekend voorkomen. Dit waren twee van de meer spraakmakende grote hacks van het afgelopen jaar. Wat ze gemeen hebben is dat het zogenaamde supplychain aanvallen waren. Oftewel, aanvallen waarbij hackers via leveranciers bij organisaties binnen zijn gekomen. Dit soort aanvallen zijn echter niet een trend die afgelopen jaar zijn ontstaan. Een andere grootschalige ransomware aanval in 2017 maakte ook veel organisaties slachtoffer. De ransomware kwam binnen via een kwaadaardige update van software van een leverancier die door de getroffen organisaties werd gebruikt.
Deze aanvallen tonen maar al te goed aan dat iedere zwakke plek uitgebuit kan worden, ook al heeft een organisatie de eigen informatiebeveiliging nog zo goed op orde. Leveranciers kunnen als het ware een achterdeur in uw organisatie vormen.
Eerder hebben we geschreven over leveranciersmanagement. Een belangrijk onderdeel van leveranciersmanagement is het scherp voor ogen hebben welke leveranciers uw organisatie inschakelt. Dit overzicht helpt om in kaart te brengen welke leveranciers fysieke of digitale toegang tot uw organisatie hebben, en daarmee een risico met zich meebrengen. Denk hierbij bijvoorbeeld aan software die u van een leverancier in gebruik hebt, maar ook aan leveranciersaccounts die toegang hebben tot uw systemen voor koppelingen.
Bij het inschakelen van leveranciers die vanwege hun fysieke of digitale toegang een hoger risico met zich brengen, is het van belang om op voorhand te bepalen wat voor eisen uw organisatie stelt aan het beveiligingsniveau van dit soort leveranciers. Met name het beleid van de leverancier voor het up-to-date houden van hun eigen IT-systemen is hierbij van belang. Certificeringen zoals bijvoorbeeld ISO 27001 helpen bij het beoordelen van het beveiligingsniveau van een leverancier. Het is echter nog steeds aan te raden om een periodieke audit af te spreken voor leveranciers die vanwege toegang tot IT-systemen een hoog risico vormen.
Deze audit kan dan worden meegenomen in de periodieke leveranciersbeoordeling, die onderdeel uitmaakt van het proces van leveranciersmanagement. Het niet voldoen aan een bepaald beveiligingsniveau van een cruciale leverancier zou een zwaarwegend onderwerp moeten zijn bij deze periodieke leveranciersbeoordeling.
Het kan natuurlijk gebeuren dat uw organisatie afscheid neemt van een leverancier. Wanneer het gaat om een leverancier van software zal door het aflopen van de licentie op deze software de functionaliteiten waarschijnlijk niet meer bruikbaar zijn. Maar het is daarbij ook zaak om de software daadwerkelijk te verwijderen. Gebeurt dat niet, dan blijft er een kans bestaan op ransomware die binnenkomt via een kwaadaardige update van de niet langer gebruikte software. In het proces om de dienstverlening door een leverancier te beëindigen, moet dit dan ook als aandachtspunt worden opgenomen.
Hetzelfde geldt voor accounts van leveranciers, die toegang verschaffen tot uw IT-systemen. Door bij het aangaan van het contract met de leverancier de einddatum van het contract als vervaldatum van het leveranciersaccount te koppelen, voorkomt u dat leveranciersaccounts ongemerkt actief blijven. Als daarnaast ook een periodieke controle op inactieve accounts wordt ingesteld, bent u nog zekerder ervan dat er geen ongemerkte accounts achterblijven.
In dit blog hebben we de gevaren van ransomware via leveranciers aangestipt. De tips hieronder verkleinen de kans dat ransomware via de supplychain uw organisatie binnenkomt:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.