Wat zijn Supply Chain-risico’s?
Supply chain-risico’s in Cybersecurity zijn risico’s die ontstaan doordat je organisatie afhankelijk is van externe partijen, zoals leveranciers, softwareontwikkelaars, IT-dienstverleners of fabrikanten van OT-apparatuur.
Als één van deze schakels wordt getroffen door een cyberincident (zoals een aanval of kwetsbaarheid), kan dit direct of indirect gevolgen hebben voor jouw organisatie.
🔗 Voorbeelden van supply chain-risico’s
| Risico | Voorbeeld |
|---|---|
| Kwetsbare software van derde partij | Kwetsbaarheid in een PLC-firmware geleverd door leverancier |
| Beheerde dienst wordt aangevallen | VPN-provider of Cloud-platform is doelwit van Ransomware |
| Hardcoded backdoor in apparatuur | OT-apparatuur met verborgen toegang voor onderhoudsdoeleinden |
| Infiltratie via partnernetwerk | Leverancier krijgt toegang tot jouw OT-netwerk zonder segmentatie |
| Levering van vervalste hardware | Namaakcomponenten met malware of verborgen communicatiemodule |
🎯 Waarom zijn ze belangrijk?
- Steeds meer systemen zijn met elkaar verbonden via de digitale keten
- Veel organisaties vertrouwen op externe tools en diensten
- Aanvallen zoals SolarWinds of Kaseya tonen aan hoe breed schade zich kan verspreiden
- NIS2 en ISO 27001 eisen dat je ook je leveranciers beoordeelt en monitort
🔐 Maatregelen tegen supply chain-risico’s
| Beveiligingsmaatregel | Beschrijving |
|---|---|
| Leveranciersbeoordeling | Checkt cybersecuritybeleid, certificeringen (bv. ISO 27001) |
| Contractuele afspraken | Leg beveiligingsverplichtingen vast in SLA’s of DPA’s |
| Netwerksegmentatie / Zone and Conduits-model | Beperk de toegang van leveranciers in OT/IT-netwerken |
| Toegangsbeheer en monitoring | Tijdelijke, gecontroleerde toegang via Jump Server of VPN |
| Software Bill of Materials (SBOM) | Inzicht in afhankelijkheden binnen geleverde software |
| Patchingbeleid voor derde componenten | Procedures voor updates van leverancierssystemen |
🏭 In OT-context
Supply chain-risico’s gelden ook voor:
- PLC’s, SCADA-software of Historian-databases van externe leveranciers
- Externe onderhoudspartijen die toegang hebben tot je productienetwerk
- Gebruik van open source libraries in embedded systemen
📌 Samengevat
Supply chain-risico’s zijn cyberdreigingen die ontstaan door de afhankelijkheid van derden. Door goede samenwerking, controle, segmentatie en Monitoring kunnen deze risico’s aanzienlijk worden beperkt.