NIS2 en Supply Chain Security: Noodzakelijke Verdediging Tegen Cyberaanvallen in 2024

Supply chain security blijft ook in 2024 “hot” in cybersecurity. We zijn nog niet eens halverwege en een aantal grote supplychain attacks haalden het nieuws. CISO’s, wees gewaarschuwd!

De XZ backdoor toonde immers hoe kleine, kwetsbare open source library’s stiekem in heel veel software zitten. Het Amerikaanse overheidsorgaan verantwoordelijk voor cybersecurity, CISA, werd zelf slachtoffer van de kwetsbaarheden in Ivanti.

En Microsoft, toch niet de kleinste speler, wordt nog steeds suf gehackt waardoor e-mails van de Amerikaanse overheid gestolen konden werden.

Voor de volledigheid, een “supplychain attack” is een soort cyberaanval waarbij hackers onrechtstreeks toegang krijgen tot gevoelige data door eerst een toeleverancier te hacken en via hen toegang te krijgen.

Het is dus niet voldoende om zelf je beveiliging op orde te hebben, je moet ook een goed beeld hebben van de beveiligingsmaatregelen bij je leveranciers.

Makkelijker gezegd dan gedaan, maar het is dermate belangrijk dat ook de nieuwe NIS2-richtlijn (Network and Information Security directive) specifieke voorwaarden oplegt aan organisaties om hun supplychain beter te gaan beveiligen.

Artikel 21 in de richtlijn benoemt heel specifiek de nood aan het opvolgen van de “toeleveringsketen”, waarbij men dus ook moet toezien op beveiliging bij directe leveranciers.

Mooi dat het in de wet staat, maar wat betekent dat nu concreet?

We zetten een aantal van de klassieke maatregelen op een rijtje:

• Zicht op risico’s: Welke leverancier heeft (toegang tot) welke soort gegevens? Welke leveranciers zijn kritiek? Breng goed in kaart welke risico’s vasthangen aan welke leveranciers, en zorg dat deze werkwijze ook goed gedocumenteerd is.
• Bewustzijn op de juiste plekken: om de beveiliging bij leveranciers goed op te volgen, moet security kennis in de organisatie breder beschikbaar zijn dan louter de IT of security afdelingen. De aankoopdienst, projectleiders, en legal zijn een paar evidente afdelingen waar men ook met leveranciers te maken krijgt en waar beveiliging een standaard onderdeel van het proces met leveranciers moet zijn.
• Duidelijke contracten: contractuele afspraken met leveranciers moeten sterke voorwaarden voor de beveiliging van informatie bevatten. Probeer niet te verzanden in algemeenheden maar specifieke maatregelen of certificaten af te dwingen.
• Toezicht houden: afspraken maken is leuk, maar je moet ook toezien op de naleving. Selecteer je meeste kritieke leveranciers en review regelmatig of die leveranciers zich houden aan de afspraken rond informatiebeveiliging door vragenlijsten, audits, of onafhankelijke verificatie.

Met deze maatregelen heb je in ieder geval de vereisten in de NIS2 wetgeving over de supplychain al te pakken en is je organisatie beter bestand om één van de trends in cybersecurityaanvallen het hoofd te bieden.

Meer kennis opdoen rond supplychain of de rol van CISO? Kijk zeker eens naar onze opleiding to Chief Information Security Officer (CISO) opleiding.