Supply-chain-attacks: zo sta je samen sterk!

Afgelopen november waren Technisch Consulent Kenneth Chong en Network Security Engineer Virgill Voorn bij Cybersec. Dé Nederlandse beurs voor cybersecurity. De focus? Die lag dit jaar op onderwerpen als veilig werken, digitale privacy én supply-chain-attacks. Virgill besloot zijn belangrijkste inzichten van het event te delen tijdens een inspirerende kennissessie bij de METRIC-IT Academy. Omdat we onze kennis ook graag met jou delen, schreven we er een blog over. Zodat jij jouw organisatie ook beter kunt voorbereiden tegen cybercrime.

Alvast een tipje van de sluier? Het hele idee van de NIS2 is simpel: organisaties moeten samen de  beveiliging coördineren van netwerk- en informatiesystemen in hun keten. Dan sta je samen sterker tegen cyberdreigingen.

 

Niet alleen voor productie en distributie

Bij ‘supply-chain’ denk je misschien aan de keten van bedrijven die betrokken zijn bij het maken en distribueren van producten. De betekenis van deze term is echter breder, zeker in de context van cybersecurity. Het gaat dan niet alleen om fabrikanten of winkels, maar ook om:

• de keten van leveranciers,
• dienstverleners,
• en partners, die invloed hebben op de beveiliging van je systemen en netwerken.

 

Denk bijvoorbeeld aan de leveranciers van de hardware of software die je gebruikt, maar ook aan IT-dienstverleners zoals Metric-IT zelf. Als klant van onze organisatie val je namelijk ook binnen dezelfde keten, omdat wij een essentiële dienst aan jou leveren.

 

Zoals je weet, heeft elke keten een zwakkere schakel. Ook de supply-chain. Dat biedt helaas kansen voor cybercriminelen. Een supply-chain-attack richt zich op de minder goed beveiligde partijen in zo’n keten, met als doel uiteindelijk grotere, betere beveiligde organisaties aan te vallen.

 

Dat vormt  een serieus risico, omdat cybercriminelen nu gemakkelijker dan ooit aanvallen kunnen uitvoeren. Wist je bijvoorbeeld dat er tegenwoordig  ‘ransomware as a service’ steeds populairder wordt? Hiermee kunnen kwaadwillenden met minimale inspanning veel schade aanrichten. Doordat het darkweb steeds toegankelijker wordt en crypto-geld steeds meer gebruikt wordt, kunnen criminelen deze diensten veel makkelijker afnemen. Virgills advies luidt daarom: denk nooit, maar dan ook nooit dat jij niet getroffen kunt worden.

 

Maar wat kun je tegen supply-chain-attacks doen?

Nou, daar heeft Virgill ook duidelijke tips voor. Allereerst moet je er dus vanuit gaan dat je wel degelijk getroffen kunt worden. Word jij zelf niet het slachtoffer, dan misschien wel iemand anders in de keten. Maar dat is natuurlijk géén reden om elkaar te gaan wantrouwen. Integendeel, het is een belangrijke reden om juist de samenwerking op te zoeken.  Als keten sta je namelijk sterker wanneer je samen aan je security werkt. Iets waar we straks nog uitgebreid op terugkomen.

 

Een van de belangrijkste eerste stappen om een cyber-attack tegen te gaan, is het in kaart brengen van de risico’s die je loopt. Virgills advies: “Identificeer de zwakke plekken in je security. En denk na over hoe je die kunt versterken. Welke oplossingen zijn daarvoor nodig? Welke dienstverleners en andere partners spelen hierbij een rol? Pak vervolgens  de grootste risico’s aan.  Het eindresultaat is een solide vorm van basis-cyberhygiëne.”

 

Je cyberhygiëne op orde krijgen

Het zorgen voor je persoonlijke hygiëne is essentieel voor je gezondheid. Hetzelfde geldt voor cybersecurity. Het onderhouden van goede cyberhygiëne, is namelijk cruciaal om je digitale veiligheid te waarborgen. Dat doe je door solide basismaatregelen te treffen. Cyberhygiëne wordt niet alleen steeds belangrijker, maar is inmiddels ook een verplichting. De NIS2, de nieuwe EU-regels voor security, legt namelijk de nadruk op het waarborgen van cyberhygiëne binnen organisaties.

 

Virgill deelt een aantal tips om jouw basis cyberhygiëne te verbeteren:

• gebruik antivirussoftware;
• voer op tijd software-updates en -patches uit, het liefst zo snel mogelijk;
• stel sterke wachtwoorden in en maak gebruik van multi-factor-authenticatie als extra beveiligingsmaatregel;
• maak back-ups van systemen, en beveilig ze indien nodig met encryptie;
• zorg voor beveiliging van je netwerk en pas segmentatie toe;
• realiseer goed overzicht en beheer van wie er allemaal toegang krijgt en heeft tot je systemen;
• wis onnodige data, om risico’s te verlagen;
• verhoog het bewust zijn van security binnen het bedrijf voor jezelf en werknemers, door awareness-trainingen op het gebied van cybersecurity en sociale media.

 

Hoeveel van deze maatregelen tref jij al? Gelukkig hoef je niet alles zelf uit e zoeken. Het idee achter NIS2 is immers dat je samen met je hele keten werkt aan beveiliging. Als je partners of leveranciers onder deze regels vallen, moet jij er ook aan voldoen. Zo kun je samen aan de slag om de veiligheid van de gehele keten te waarborgen.

 

Zo verstevigt Metric-IT de keten

Metric-IT houdt zich uiteraard aan de NIS2-regels. Als IT-dienstverlener zijn we verplicht om goede beveiligingsmaatregelen te treffen, maar we begrijpen bovenal ook zelf het belang van een sterke security. Zowel voor onszelf als voor onze partners en klanten. Onze focus ligt op het versterken van de keten als geheel, want als die sterker wordt, worden ook onze klanten indirect weerbaarder. Dankzij onze voorbereidingen op de NIS2 weten we waar we op moeten letten. En we gebruiken deze kennis en ervaring om jouw security te verbeteren. Vanuit onze expertise in netwerken zorgen we ervoor dat jouw netwerk goed beveiligd is, zodat de hele keten sterker en weerbaarder wordt.

 

Wil je meer weten over supply-chain-attacks, cyberhygiëne en de NIS2? Neem dan contact met ons op. Laat het ons gerust weten als je direct met Virgill wil sparren.