2min Security

Organisaties kennen hun software supply chain niet

Een groot risico

Organisaties kennen hun software supply chain niet

Slechts één op de vijf organisaties heeft een goed inzicht in hun software supply chain. De meeste bedrijven weten dus niet welke componenten en dependencies hun oplossingen bevatten. Zo dreigt al gauw een grootschalig datalek zonder enige waarschuwing.

Het onderzoek is afkomstig van Anchore, te weten het 2024 Software Supply Chain Security Report. Andere bevindingen richten zich op het slecht naleven van best practices in de software-wereld. Denk aan het uitblijven van een software bill-of-materials (SBOM) bij 51 procent van de ondervraagden, dat wel volgens 78 procent van de respondenten binnen anderhalf jaar wordt verbeterd.

Voor het onderzoek ondervroeg Anchore 106 specialisten binnen organisaties die verantwoordelijk zijn voor de supply chain security van hun organisatie. Eerder onderzoek van JFrog liet al zien dat supply chain-risico’s toenemen.

Tip: Supply chain-risico’s worden steeds groter probleem voor bedrijven

Grote (onvoorziene) schade

Makkelijker gezegd dan gedaan, terwijl het doen ook gewoon nodig is. Niemand wil immers de volgende Blauw zijn, de Nederlandse marktonderzoeker die via een fout van softwareleverancier Nebu met een grootschalig datalek te maken kreeg. Vervolgens weigerde laatstgenoemde om mee te werken aan een onderzoek, maar werd daartoe gedwongen door de rechter. Uiteindelijk bleken ook 16 overheidsorganisaties dor het Nebu-lek getroffen te zijn.

Het vereisen van een SBOM is van groot belang. Dit is met name het geval bij organisaties die veel persoonsgegevens verwerken en niet alleen die van hun medewerkers, aangezien de impact al gauw gigantisch wordt. Dat de Anchore-respondenten supply chain security als een prioriteit omschrijven (76 procent), is dus een goede zaak. Nu moet men wel nog de daad bij het woord voegen.

Eén van de voornaamste beweegredenen, zo blijkt uit het onderzoek, is het voldoen aan compliance-eisen. Gemiddeld moeten organisaties voldoen aan 4,9 standaarden en regels, wordt in het rapport geconstateerd. De respondenten voorzien in de toekomst meer problemen, en wel door toedoen van AI. Embedded AI libraries zullen volgens 77 procent van de ondervraagden voor kopzorgen zorgen qua supply chain security.