KPN waarschuwt dat supply chain-aanvallen steeds populairder worden onder cybercriminelen. Dat betekent dat zij op een netwerk proberen in te breken via een leverancier die de cybersecurity niet goed op orde heeft. KPN legt uit hoe dit in zijn werk gaat.

Een ‘supply chain attack’ of ‘third party attack’ is een aanvalsmethode waarbij cybercriminelen binnenkomen via een derde partij die toegang heeft tot systemen en data van de betreffende organisatie. Dat kan bijvoorbeeld een leverancier, een reseller, een dienstverlener, een distributeur of een overgenomen bedrijf zijn. Vaak begint een supply chain-aanval bij het hacken en manipuleren van software. De aanvallers voegen bijvoorbeeld een achterdeurtje toe waarmee ze toegang krijgen tot het netwerk van organisaties die deze software gebruiken.

Zeer effectief middel
Voor cybercriminelen is een supply chain-aanval een zeer effectief middel om in één keer bij meerdere bedrijven binnen te komen. Ze hacken bijvoorbeeld een IT-leverancier en kunnen dan zelf in het klantenbestand een doelwit uitzoeken. Bovendien biedt dit de mogelijkheid om grote bedrijven met een goede IT-beveiliging te infiltreren. Een rechtstreekse aanval op het netwerk is wellicht minder kansrijk of komt sneller aan het licht.

Voorbeelden 
Een recent voorbeeld van een supply chain-aanval is de hack bij softwarebedrijf SolarWinds. Hackers braken in bij het bedrijf en wisten afluistersoftware toe te voegen aan een update voor de beheersoftware Orion. Volgens SolarWinds werd de malware geïnstalleerd bij zo’n 18.000 klanten. Via Orion konden de aanvallers ongemerkt informatie verzamelen bij verschillende Amerikaanse ministeries en beveiligingsbedrijven. Vermoedelijk zit Cozy Bear hierachter. Deze hackersgroep zou banden hebben met de Russische overheid.

Miljarden euro’s schade
Een ander bekend voorbeeld is NotPetya. Bij deze aanval in 2017 werd schadelijke code toegevoegd aan een update voor Oekraïense boekhoudsoftware. De malware verspreidde zich via bedrijven die zakendoen in Oekraïne ook naar tientallen andere landen. NotPetya deed zich voor als ransomware, maar herstel van de versleutelde data was in de praktijk onmogelijk. De totale schade liep in de miljarden euro’s, bijvoorbeeld bij transportbedrijf Maersk en farmaceut Merck. In Nederland werden onder meer containerterminals in Rotterdam getroffen.
De exacte werkwijze verschilt per aanval. Zo kwamen hackers in 2013 binnen bij de Amerikaanse retailgigant Target via de leverancier van het verwarmings- en ventilatiesysteem. Op deze manier wisten ze persoons- en creditcardgegevens van miljoenen klanten te stelen.

Gevolgen 
De gevolgen van een supplychain-aanval zijn helemaal afhankelijk van het type aanval, de intentie van de aanvallers, de reactie van het getroffen bedrijf en de nasleep van de hack. Bij NotPetya wilden de hackers simpelweg zoveel mogelijk schade aanrichten door data te vernietigen en bedrijfsprocessen te verstoren. Bij de SolarWinds-hacks was spionage waarschijnlijk het primaire doel. De impact van deze aanval is nog niet te overzien.
Naast de directe impact kan een supply chain-aanval ook andere negatieve effecten hebben. Denk hierbij aan reputatieschade en misgelopen inkomsten. In het geval van een datalek behoort ook een boete tot de mogelijkheden als er sprake is van ernstige nalatigheid. Soms krijgt een datalek een vervelend juridisch staartje. Zo moest Target voor tientallen miljoenen schikken met banken en creditcardmaatschappijen.

Supplychain-aanval voorkomen
Het voorkomen van een supplychain-aanval begint altijd met kijken naar de eigen IT-beveiliging en het op orde brengen van de basis. De toegang tot data en systemen dient beperkt te worden en er dient een strikt patchbeleid gehanteerd te worden om systemen up-to-date te houden. Een moderne antimalware-oplossing is noodzakelijk, evenals het monitoren van het netwerk, zodat indringers snel gedetecteerd worden. Verder is het cruciaal dat er meerdere back-ups zijn van vitale data, zowel online als offline. Daarmee is het risico op gegevensverlies te verkleinen. Bijvoorbeeld in geval van een ransomwarebesmetting.

Derde partijen
Helaas is er minder grip op de informatiebeveiliging van derde partijen waarmee wordt samengewerkt. Gelukkig zijn er wel manieren om deze risico’s af te dekken. Dit heet Third Party Risk Management. Uitgangspunt hierbij is dat er inzicht is in de concrete risico’s voor de organisatie. Met welke partijen wordt samengewerkt? Hoe belangrijk zijn zij voor de bedrijfsvoering? En welke securitymaatregelen hebben zij getroffen? Zo kan altijd een gefundeerde afweging worden gemaakt bij het selecteren én evalueren van partners en leveranciers.
KPN Security kan samen met klanten een basisbeveiliging neerzetten die de organisatie weerbaarder maakt tegen alle typen cyberaanvallen. Daarnaast biedt het bedrijf ondersteuning bij het ontwikkelen van een strategie voor Third Party Risk Management, bijvoorbeeld via speciale workshops en vakkundige begeleiding.