3min Security

Risico op security-incidenten door supply chain neemt toe

Risico op security-incidenten door supply chain neemt toe

Het risico dat bedrijven lopen op een cyberincident door een relatie met een leverancier of ‘fourth party’ in de keten neemt steeds meer toe. Dit stellen SecurityScorecard en The Cyentia Institute in een gezamenlijk onderzoek.

Uit het onderzoek blijkt dat 98 procent van de ondervraagde bedrijven een relatie heeft met een derde partij die in de afgelopen twee jaar met minstens één cyberincident te maken heeft gehad. De cybersecurityratingspecialist en de onafhankelijke cybersecurity-onderzoeker stellen daarnaast  dat ook de helft van onderzochte bedrijven relaties hebben met ten minste 200 leveranciers van hun leveranciers, zogenoemde ‘fourth party’-partijen, die in de afgelopen twee jaar een incident hadden.

De securityonderzoekers onderzochten in totaal wereldwijd 235.000 bedrijven en meer dan 73.000 leveranciers en producten die zij gebruikten of weer door hun leveranciers werden gebruikt.  Doel van dit onderzoek was in kaart brengen hoe de afhankelijkheid van de huidige moderne digitale supply chain van invloed is op de securityrisico’s die bedrijven tegenwoordig lopen.

Drietal conclusies

De onderzoekers trokken uit het onderzoek een drietal belangrijke conclusies. Ten eerste lopen bedrijven meer risico op een security-incident naar mate zij meer relaties met derde en vierde partijen hebben. Voor iedere relatie die zij hebben met een derde partij, hebben zij 60 tot 90 keer een relatie met een vierde partij.

Derde partijen vertonen tot vijf keer een slechtere securityhouding dan de eigen organisatie zichzelf geeft. Ongeveer 10 procent van de derde partijen van een bedrijf noteert een F-rating, bij bedrijven die zelf een A-rating noteren voor hun securitybeleid.

IT-sector heeft grootste supply chain

Een tweede belangrijke conclusie die de securityspecialisten trekken, is dat bedrijven in vooral de IT-sector veel third party leveranciers hebben; gemiddeld 25. Dit is ongeveer 2,5 keer zoveel als het gemiddelde aantal van 10 leveranciers. De financiële sector heeft weer het minste aantal third party-leveranciers, 6,5. De gezondheidszorg komt uit op een gemiddelde van 15,5 externe leveranciers en de verzekeringssector op 11.

De onderzoekers geven aan dat iedere leverancier weer een riscio op een mogelijk cyberincident geeft. Bijvoorbeeld door gecompromitteerde code van deze leveranciers of door het gebruik van onveilige hosting providers.

Hoe meer buitenlandse leveranciers, hoe lastiger

De derde en laatste belangrijke conclusie die de onderzoekers trekken, is dat het blootstellen van bedrijfsgegevens aan internationaal opererende derde partijen meer securitymaatregelen vereist voor wet- en regelgeving. Ongeveer 59 procent van de onderzochte bedrijven heeft leveranciers uit vijf of minder verschillende landen. Ongeveer 14 procent werk met leveranciers uit 10 en meer verschillende landen.

Screenen van alle leveranciers en klanten

Uit de data die het onderzoek heeft opgeleverd, blijkt dus dat het voor bedrijven zeer moeilijk is om hun securitybeleid voor de hele supply chain goed in te regelen. Toch is dit heel belangrijk aangezien cybercriminelen elke mogelijke kwetsbaarheid zullen gebruiken voor het uitvoeren van aanvallen.

SecurityScorecard en The Cyentia Institute vinden daarom dat bedrijven al hun partners en klanten binnen de digitale supply chain constant moeten monitoren en identificeren. Hierdoor kunnen ze mogelijk ieder potentieel risico dat via deze partijen kan komen, tegengaan.

Een volledig inzicht in het securitybeleid van derde en vierde partijen is daarom onontbeerlijk, zo gaan de onderzoekers verder. Bedrijven moeten daarom nauw met deze partijen samenwerken om gaten in de security van de infrastructuur te dichten en daarmee hun eigen securityrisico te verkleinen.

Tip: Ransomware fataal voor mkb’ers: security steeds serieuzer genomen