We leven in een complexe wereld. In de technologiesector geldt dit nergens zo sterk als in onze toeleveringsketens. Er zijn tegenwoordig maar weinig bedrijven die niet afhankelijk zijn van producten, diensten en software die door derden worden geleverd. Veel organisaties hebben tientallen externe onderaannemers en leveranciers.
Dit kan ernstige problemen veroorzaken wanneer het om cyberveiligheid gaat. Zoals de recente, door Rusland uitgevoerde aanval op SolarWinds duidelijk heeft aangetoond, is de cyberbeveiligingssterkte van uw leveranciers nauw verbonden met die van uzelf. Een geslaagde inbraak in hun systeem kan de springplank zijn voor een aanval op uw eigen systeem.
In dit artikel bekijken we wat de recente hack ons kan leren over de cyberbeveiliging van de toeleveringsketen, verdiepen we ons in de toestand van de beveiliging van de toeleveringsketen in het algemeen, en delen we vervolgens enkele praktische tips om uzelf te beschermen.
SolarWinds
Laten we hier beginnen. Het nieuws dat SolarWinds gehackt was, dook voor het eerst op in december 2020. De ernst van de aanval werd vrijwel onmiddellijk duidelijk, aangezien SolarWinds, als belangrijke leverancier van software aan het Amerikaanse leger, tientallen contracten met verschillende federale agentschappen had binnengehaald. Dit betekende dat de hackers – die ‘waarschijnlijk van Russische afkomst waren’, volgens een gezamenlijke verklaring van vier federale agentschappen – toegang konden krijgen tot gegevens die in handen waren van, of namens, een groot aantal bedrijven.
In tegenstelling tot de aanvankelijke berichten blijkt nu dat de hack wel 250 bedrijven heeft getroffen en gebruik heeft gemaakt van veel verschillende lagen van de door SolarWinds geleverde infrastructuur.
Bitsight schat dat de aanval cyberverzekeraars tot 90 miljoen dollar zou kunnen kosten – een indrukwekkend cijfer, maar toch veel lager dan men zou verwachten, gezien de omvang van de aanval. Eén verklaring is dat overheidsinstanties geen cyberverzekering kopen en dus niet direct schadeloos gesteld zullen worden voor de aanval.
Alles bij elkaar vormde deze aanval een van de grootste gegevensinbreuken van de afgelopen vijf jaar. Er waren echter enkele bijzonder verontrustende aspecten, die velen in de sector ertoe hebben aangezet opnieuw na te denken over de manier waarop het IoT en de toeleveringsketens tegen opkomende bedreigingen moeten worden beschermd.
Anatomie van een hack in de toeleveringsketen
Het probleem van hacks in de toeleveringsketen is gemakkelijk te begrijpen en uiterst moeilijk op te lossen. Onze economie, die complexer is dan ooit – vooral wanneer het gaat om technische hulpmiddelen en diensten – is daar mede verantwoordelijk voor. Zelfs kleine bedrijven maken nu gebruik van softwaretools die door tientallen leveranciers worden geleverd. Weinig bedrijven – en blijkbaar zelfs de federale regering niet – zijn in staat voldoende audits uit te voeren om na te gaan of al hun leveranciers gehard zijn tegen aanvallen.
Een dergelijk niveau van vertrouwen opleggen is moeilijk zonder juist de dynamiek te vernietigen die de technologiesector zo succesvol heeft gemaakt. Sommigen hebben een technische oplossing voorgesteld: een systeem van certificaten, garanties en encryptie, vergelijkbaar met het systeem dat gebruikt wordt om consumentgerichte websites te beschermen. Het is echter moeilijk voor te stellen dat zo'n idee op brede steun kan rekenen in een tech-industrie die er nog steeds naar streeft ‘snel te handelen en dingen te breken’ in plaats van gebonden te zijn aan beperkende en mogelijk dure aanvullende voorschriften.
Naast het baseren van aankoopbeslissingen op reputatie alleen, lijken er weinig opties te zijn voor degenen die vertrouwen op software van derden – dat zijn de meeste bedrijven en zelfs de meeste smart cities. Dit is verre van een perfecte oplossing. Zoals de aanvallen op SolarWinds en FireEye (en andere daarvoor) hebben bewezen: niemand is helemaal veilig voor aanvallen.
Risico's in de toeleveringsketen beperken
Aanvallen op de toeleveringsketen kunnen voor bedrijven moeilijk te voorkomen zijn, vanwege de complexiteit van de gemiddelde toeleveringsketen. Gezien dit feit is de actieradius van het typische bedrijf beperkt tot het beperken van de potentiële schade van zo'n aanval en tegelijkertijd tot het beperken van de wettelijke aansprakelijkheid ervoor.
Voor de meeste bedrijven betekent dit dat ze moeten vertrouwen op de nalevingskaders die reeds een essentieel onderdeel van het zakendoen zijn (of zouden moeten zijn). Sommige van deze nalevingskaders, zoals de PCI-norm, voorzien uitdrukkelijk in een risico-evaluatie van derden en bieden enige zekerheid dat bedrijven ‘verderop’ in de toeleveringsketen ook een nalevingscontrole hebben moeten ondergaan voordat ze softwaretools op de markt mogen brengen.
Er zijn ook een aantal kaders die, hoewel ze niet wettelijk verplicht zijn, nuttig kunnen zijn voor bedrijven die hun blootstelling aan risico's in de toeleveringsketen willen beperken. Het Capability Maturity Model (CMM, ISO 9001), vaak ‘Common Criteria’ genoemd, is de norm die de toezichthoudende overheidsdiensten gebruiken om hun eigen leveranciers door te lichten. Momenteel is dit de strengste reeks normen om de blootstelling aan risico's van derden te beperken.
Ten slotte, en meer pragmatisch, moeten bedrijven maatregelen nemen om hun aansprakelijkheid bij een hack van de toeleveringsketen te beperken, en om het potentiële faillissement waartoe dat kan leiden, te vermijden. Dat betekent dat ze contracten met externe leveranciers moeten sluiten die hen aansprakelijk stellen voor aanvallen op hun eigen systemen.
Het betekent ook dat u heel voorzichtig moet zijn met hoe en waar u open-source software gebruikt, waar een dergelijke aansprakelijkheid niet kan worden overeengekomen. Volgens het 2020 State of the Software Supply Chain Report van Sonatype zijn aanvallen op de toeleveringsketen die gericht zijn op open-source softwareprojecten een groot probleem voor ondernemingen, aangezien 90% van alle toepassingen open-source code bevat en 11% daarvan bekende kwetsbaarheden heeft.
Conclusie
Helaas is het moeilijk voor te stellen dat de dreiging van aanvallen op de toeleveringsketen op korte termijn zal verdwijnen – al was het maar omdat externe softwareleveranciers zo'n centrale plaats innemen in de hedendaagse economie. Daarom, en ondanks het feit dat sommige analisten beweren dat AI-beheer van deze netwerken veiliger zou zijn dan menselijk toezicht, zullen we moeten wennen aan aanvallen zoals die welke SolarWinds trof.
Gelukkig kunt u, met de juiste aansprakelijkheidsstructuren, uzelf tenminste beschermen tegen de daaruit voortvloeiende financiële en juridische gevolgen.
Opmerking: Dit blogartikel is geschreven door een gastauteur om onze lezers een gevarieerder aanbod te kunnen geven. De meningen die in dit artikel van de gastauteur worden geuit, zijn uitsluitend die van de auteur en komen niet noodzakelijk overeen met die van GlobalSign.