Circa 96 procent van de organisaties in de Benelux werd slachtoffer van een cyberaanval door een kwetsbaarheid in de supply chain.

Securityspecialist BlueVoyant vroeg meer dan duizend IT-leiders naar de staat van supply chain security in hun organisatie. Vandaag zijn de onderzoeksresultaten gedeeld.

In de Benelux zag bijna elke organisatie (96 procent) hoe een kwetsbaarheid in de supply chain tot een cyberaanval leidde. Bijna de helft van de slachtoffers werd in het afgelopen jaar geraakt door twee tot vijf aanvallen. Bij 27 procent ging het zes tot tien keer mis.

Supply chain attacks

De cijfers mogen geen verassing heten. Er gaat geen maand voorbij zonder een nieuw voorbeeld van de schade die een kwetsbare supply chain kan aanrichten.

Vorige week werden acht Nederlandse woningcorporaties slachtoffer na een aanval op hun IT-dienstverlener. In januari veroorzaakte misdaadgroep Lapsus$ een datalek bij Okta na een inbraak bij een partner.

Het is een cliché, maar een ketting is zo sterk als de zwakste schakel. De sterkte van een bedrijfsnetwerk doet er niet toe wanneer de dreiging via een vertrouwde klant, partner of app binnenkomt.

SolarWinds

Ongeveer 60 procent van de organisaties zegt dat supply chain-kwetsbaarheden op de radar staan. Wereldwijd zijn dat 70 procent van de organisaties. De Benelux loopt achter.

Het verschil heeft meerdere redenen. Bewustzijn speelt een mogelijke rol. Zoals eerdergenoemd komen de meeste organisaties in aanraking met een supply chain-aanval. Toen SolarWinds in 2020 werd geraakt, verspreidde de aanvallers zich naar duizenden organisaties en honderden overheidsnetwerken. Ook Nederlandse bedrijven werden slachtoffer, maar de Verenigde Staten incasseerde de grootste klap.

We missen het doel

Daarnaast stelt BlueVoyant dat investeringen in supply chain security geen strategische focus hebben. Slechts 9 procent van de organisaties controleert externe leveranciers op securityrisico’s, ook wel bekend als vendor risk management. Slechts 31 procent van de groep controleert vaker dan eens in de drie maanden.

Budgetten voor vendor risk management stijgen, maar missen het doel. “Veel organisaties hebben moeite met de optimale besteding van securitybudgetten”, deelt Richard Wolters, Director of European Marketing bij BlueVoyant.

“Hoewel het positief is dat bedrijven in de Benelux investeren in vendor risk management, is het onduidelijk in hoeverre deze budgetten doeltreffend en planmatig worden ingezet. Het is zaak hier op korte termijn verandering in te brengen en de kans op cyberincidenten te verkleinen.”

Tip: Ransomware is een APT, zo moet je het ook behandelen