Supply chain-aanvallen: waar u op moet letten

U denkt dat uw netwerk en gegevens veilig zijn en dat al uw documenten achter slot en grendel zitten? U denkt ook dat u aan alles hebt gedacht om veilig te blijven (bijvoorbeeld slimme antivirus, stevige firewalls), maar toch kunt u niet onder de vijgenboom rusten want cyberaanvallen door hackers kunnen ook u overkomen.

Cyberaanvallen komen meestal via een leverancier of handelspartner in de supply chain terecht en kunnen door onveilige digitale communicatie ongestoord bij meerdere partijen infiltreren. Volgens het Amerikaanse National Institute of Science and Technology (NIST) vinden naar schatting 80% van de cyberaanvallen wereldwijd plaats door infiltratie in een supply chain.

Wat is een supply chain attack?

Supply chain-aanvallen gebeuren als iemand uw systeem binnendringt via een externe partner zoals een verkoper of leverancier die toegang heeft tot uw netwerk, data en systemen. Het bestaat uit een groot, complex netwerk van verschillende producenten, distribiteurs, retailers etc., die allemaal digitaal contact hebben. Als hackers één schakel van het netwerk weten binnen te dringen, kunnen ze toegang krijgen tot veel meer schakels. Dit is een snoepwinkel voor hackers, die telkens op zoek zijn naar nieuwe, geavanceerdere manieren om aan te vallen.

Supply chain aanvallen zijn gericht op leveranciers, maar ook software providers worden zeker niet met rust gelaten. Dat is ook een van de redenen dat het zo enorm belangrijk is voor ons om te zorgen voor een veilig platform voor document uitwisseling.

Niet alle “digitale” documenten zijn veilig

Supply chains worden steeds complexer en dat betekent ook dat er steeds meer supply chain risico’s ontstaan. Sinds de coronapandemie, en daarvoor ook al, digitaliseren steeds meer bedrijven. Als gevolg wordt ook steeds meer kritieke informatie digitaal. Het is belangrijk op te merken dat niet alle “digitale” documenten even veilig zijn.
Zo werd het ongeveer 10 jaar geleden legaal om PDF-facturen via e-mail te versturen. Dat het vandaag de dag nog rechtsgeldig is, betekent helaas niet dat het veilig is. E-mail maakt namelijk gebruik van Simple Mail Transfer Protocol (SMTP) en dit protocol is helaas kwetsbaar wat zorgt dat een pdf-factuur via e-mail versturen veel veiligheidsrisico’s met zich mee brengt. Hetzelfde geldt voor XML-facturen die per e-mail worden verzonden.

Wat is een onveilig netwerk?

Zoals u waarschijnlijk al kunt raden, is SMTP geen beveiligd netwerk. Zonder extra maatregelen is SMTP geen veilige uitwisselingsmethode, het mist namelijk een encryptie en authenticatie. Zonder een lange en technische uitleg, betekent dit dat (in het algemeen) alle berichten relatief blootgesteld zijn en toegankelijk zijn voor hackers. Daarom zijn e-mails van nature vatbaar om gehackt te worden, wat kan leiden tot een supply chain aanval.
Hoewel het mogelijk is om een SMTP-omgeving te creëren die een aantal van de belangrijkste veiligheidsrisico’s in verband met e-mailcommunicatie aanpakt, is het onwaarschijnlijk dat alle handelspartners de nodige stappen hebben genomen om hun e-mailuitwisselingen te beveiligen. Daarom pleiten wij voor het gebruik van veilige netwerken en ontwikkelen wij onze oplossingen met deze instelling in het achterhoofd.

Wat is een veilig netwerk?

In tegenstelling tot SMTP impliceert de uitwisseling via een beveiligd netwerk dat dezelfde veiligheidsmaatregelen gelden voor alle partijen die het netwerk gebruiken. Een bekend voorbeeld van een beveiligd netwerk is het Peppol-netwerk, een internationaal e-procurement netwerk dat vereist dat elke deelnemer een grondig verificatieproces ondergaat voordat hij verbinding kan maken met een sterk beveiligde digitale infrastructuur via een gecertificeerd Peppol Access Point, zoals TIE Kinetix.

De mogelijkheid om elektronische facturen via het Peppol-netwerk te verzenden is in Europa vaak een vereiste voor leveranciers die zaken willen doen met overheidsinstanties, en het wordt ook een steeds vaker voorkomende vereiste voor het zakendoen met organisaties in de particuliere sector. Maar zelfs voor degenen die niet verplicht zijn hun bedrijfsdocumenten – facturen of andere – via een netwerk zoals Peppol te verzenden, zijn er nog steeds opties om PDF- en XML-documenten veilig te versturen terwijl SMTP-

communicatie (e-mail) wordt vermeden

Tips om hoe u zich kunt beschermen tegen een supply chain-aanvallen
Helaas is er niet één makkelijke oplossing voor supply chain attacks. Wel kunt u bepaalde voorzorgmaatregelen nemen die de kans op een aanval en de impact, bij uzelf en bij uw leveranciers, zo veel mogelijk kunt verkleinen.

Supply chain attacks worden verspreid door de digitale communicatie die u heeft met uw leveranciers, klanten en partners. Daarom is het belangrijk ervoor te zorgen dat al uw kritieke uitwisselingen, vooral die met financiële gegevens, zo goed mogelijk beveiligd zijn. Hier zijn enkele stappen die u kunt nemen:

1. Kies voor veilige netwerken voor documentuitwisseling en communicatieprotocollen. Vermijd het verzenden van bedrijfsdocumenten via e-mail. Met onze de verschillende oplossingen van ons FLOW platform kunnen bedrijfsdocumenten veilig worden omgezet naar een gestandaardiseerd documentformaat.

2. Ken uw handelspartners. In het verlengde van het vorige punt moet u precies weten wie toegang heeft tot welke (kritieke) informatie, systemen en data. Dit hoort allemaal bij het risico management en om te zorgen dat u weet hoe uw leveranciers omgaan met uw beveiliging en of ze hieraan voldoen.

3. Begrijp de risico’s die uw supply chain met zich mee brengen. Risico’s in uw supply chain kunnen vele vormen aannemen. Om een inbreuk op gegevens te voorkomen, moet u goed samenwerken met uw handelspartners en duidelijk communiceren over beveiligingseisen.

4. Plan uw reactie op een supply chain attack. En mocht het nou toch gebeuren dat er een cyberaanval plaats vindt, zorg dan dat u een plan van aanpak heeft en weet hoe u gaat reageren. Ze zeggen weleens: voorbereiding is het halve werk en dat geldt zeker bij cyberaanvallen. Hoe meer u bent voorbereid en bewust bent van de risico’s, des te sneller u het detecteert en kunt oplossen. Niet alleen voor uzelf, maar óók voor uw leveranciers, partners en klanten.

5. Wees kritisch over nieuwe serviceproviders en handelspartners. Voer altijd een risico-analyse uit en doe onderzoek naar de veiligheidsmaatregelen die uw (nieuwe) partners of (software) leveranciers nemen. En vergeet niet om óók te kijken naar welke eisen zij stellen aan hun partners en/of leveranciers.

Ontdek hoe FLOW u hierbij kan helpen.

Lees ook:
  • Hoe digitalisering maatschappelijk verantwoord ondernemen (MVO) ondersteunt
  • TIE Kinetix biedt zelfbediening e-facturatie-oplossingen aan MKB

Gerelateerde berichten...

X