Thijs Kromhout

Cybersecurity awareness maand 2022 – 1.

door

thijskromhout
in ,

Voor mijn (voormalig (red.)) werkgever Eurofins Cybersecurity ga ik deze maand een aantal tips schrijven. De eerste tip van deze cybersecurity maand is: wat kunt u doen om het risico van de gevolgen van een supply chain-attack te minimalizeren.

Maar een hele maand zeg je?! Waarom niet een dag net zoals bijvoorbeeld vader- en moederdag. Of, wat meer ICT georiënteerd, System Administrator Appreciation dag op de laatste vrijdag van Juli? Is het niet overdreven om een hele maand aan dit onderwerp te wijden?

Het korte antwoord is Nee. Een maand is zeker niet te kort om stil te staan bij en extra aandacht te geven aan het onderwerp cybersecurity. En nee, dat komt niet alleen maar omdat ik veel bezig ben met informatiebeveiliging. Het uitroepen van de maand oktober als cybersecurity maand is een wereldwijd initiatief dat al dateert van 2004[1]. In dat jaar werd door de president in de Verenigde Staten van Amerika de maand oktober uitgeroepen als “Cybersecurity awareness month”.

In Europa kennen wij sinds 2012 een gelijk initiatief[2]. En dit jaar is dan ook het 10-jarig bestaan van de oktober cybersecuritymaand. Dit jaar is er gekozen voor de volgende twee onderwerpen: Phishing en Ransomware. Daarnaast kennen de deelnemende lidstaten ook hun eigen campagnes voor deze maand. Zo ook in Nederland. Via de Alert Online[3] website kunt u geïnformeerd raken over de verschillende onderwerpen en deelnemen aan meerdere bijeenkomsten.

Maar er zijn een aantal onderwerpen naast phishing en ransomware die ook belangrijk zijn.

In dit eerste artikel (van vier) wil ik dan ook de aandacht vestigen op uw toeleveranciers ook wel suppliers genoemd in de business en de hiermee gepaarde aanvallen. In de vele documenten en artikelen die beschikbaar zijn wordt dit veel in het Engels omschreven als: supply chain-attack of third party risk.

Wat wordt er nu onder een supply chain-attack verstaan? Dit zijn aanvallen die niet direct op uw bedrijf uitgevoerd worden, maar op leveranciers waar u gebruik van maakt. Een bekend voorbeeld in 2022 was het probleem met de Kaseya [4]software. Deze software maakt het mogelijk voor bedrijven om ICT infrastructuur van andere bedrijven te beheren. Om van deze software gebruik te maken dient er een vertrouwde verbinding te zijn tussen de leverancier en uw omgeving. In deze software zat helaas een fout die vervolgens door de criminelen is benut. Zij hebben in dit geval hun aanval alleen hoeven in te zetten op één bedrijf om zodoende bij heel veel andere bedrijven binnen te kunnen komen en daar hun criminele activiteiten te ontplooien.

Wat kunt u (of moet u misschien) zelfs nu doen om een probleem als deze zoveel mogelijk proberen te voorkomen? U neemt immers  niet voor niets de diensten af van een (in dit voorbeeld) externe ICT beheerder.

  1. Dat begint al heel eenvoudig met het bijhouden / opstellen van een register waarin u al uw leveranciers opneemt.
    1. Vervolgens bekijkt u welke van deze leveranciers direct (en indirect) toegang tot uw omgeving hebben.
    2. Zodra dit overzicht is gemaakt bekijkt u of deze leveranciers daadwerkelijk toegang vereisen, op welke manier en voor hoe lang. Veelal wordt er standaard toegang gevraagd omdat dit makkelijk is. Dit is soms via een directe (continue) verbinding of er wordt gebruik gemaakt van software die toegang op afstand kan bewerkstelligen (indirecte verbinding). Maar wie controleert die verbinding? En welke software wordt er gebruikt om op afstand te kunnen helpen? Het is noodzakelijk om dit te inventariseren en te monitoren.
  2. Omdat het voor bedrijven vaak ook niet haalbaar is om andere bedrijven op veel zaken met betrekking tot informatiebeveiliging te controleren is het aan te raden om minimaal na te gaan of de leverancier een geldig ISO/IEC 27001 certificaat heeft.
  3. Voor uw meest belangrijke processen is het van belang dat u uw vastgelegde afspraken (in bijvoorbeeld een service level agreement) goed doorneemt met uw leveranciers (dus niet alleen degene die (in)direct toegang hebben). Op welke actie/reactie kunt rekenen bij een incident?
  4. Van welke (toe)leveranciers maakt uw leverancier gebruik?
    • Staan hier mogelijk leveranciers tussen die voor u een potentieel risico kunnen vormen? Kan uw leverancier bijvoorbeeld nog wel zijn dienstverlening aan u garanderen indien een van zijn toeleveranciers is uitgevallen?
  5. Een ander belangrijk punt is het nagaan of er een verwerkersovereenkomst nodig is. Op de website van de Autoriteit Persoonsgegevens[5] (Engels: Data Protection Authority) zijn de voorwaarden hiervoor beschreven. En als blijkt dat deze inderdaad nodig is, heeft u deze dan goed doorgenomen en bijvoorbeeld gecontroleerd welke subverwerkers er bekend zijn?
  6. Als laatste item willen wij u meegeven om uw gemaakte afspraken periodiek (minimaal één keer per jaar) te controleren en herzien. Dit omdat zoals u weet er niets zo snel veranderd als het cybersecurity landschap.

Het uitbesteden van diensten/taken bij derden is in deze tijd gemeengoed geworden. En dat is ook niet vreemd, want om alles zoals apparatuur en kennis zelf in huis te hebben is vrij kostbaar. Het is dan dus wel zaak om goed op de hoogte te zijn bij wie u wat uitbesteedt. Het uitbesteden van deze diensten ontslaat u niet namelijk niet van uw verantwoordelijkheid.

Ik wens u een leerzame en informatieve cybersecurity maand toe.

[1] https://www.cisa.gov/cybersecurity-awareness-month

[2] https://cybersecuritymonth.eu/

[3] https://veiliginternetten.nl/alertonline/

[4] https://www.divd.nl/2022/04/04/Kaseya-VSA-full-disclosure/

[5] List of all EU DPA’s: https://edpb.europa.eu/about-edpb/about-edpb/members_nl