Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Leveranciersketen

Concepten

Een ecosysteem van dienstverleners die hard- en software, netwerken of diensten levert die door allerlei partijen worden gebruikt in hun netwerken en/of dienstverlening. Te denken valt aan cloudleveranciers.

De leveranciersketen, in cybersecurity ook wel supply chain genoemd, verwijst naar het netwerk van leveranciers, dienstverleners en partners waarvan je organisatie afhankelijk is voor software, hardware, clouddiensten en IT-ondersteuning. De beveiliging van deze keten is een groeiende uitdaging omdat een kwetsbaarheid bij een leverancier direct gevolgen kan hebben voor jouw organisatie, zelfs als je eigen beveiliging op orde is. Volgens het NCSC is het inventariseren en beveiligen van de leveranciersketen een prioriteit voor elke organisatie die haar digitale weerbaarheid serieus neemt.

Het risico van supply chain-aanvallen is de afgelopen jaren sterk toegenomen. Bij een supply chain-aanval compromitteert een aanvaller niet jouw organisatie direct, maar een leverancier of softwarecomponent in je keten. Via die gecompromitteerde schakel krijgt de aanvaller vervolgens toegang tot alle afnemers van die leverancier. Dit maakt supply chain-aanvallen bijzonder effectief: in plaats van honderden organisaties individueel aan te vallen, hoeft de aanvaller slechts een centrale schakel te compromitteren om toegang te krijgen tot het hele netwerk van afnemers. Onderzoek toont aan dat 53% van de Nederlandse organisaties in het afgelopen jaar een cyberincident heeft meegemaakt, en een groeiend deel daarvan is terug te voeren op kwetsbaarheden in de leveranciersketen.

Waarom is de leveranciersketen belangrijk?

De leveranciersketen is belangrijk omdat vrijwel geen enkele organisatie volledig zelfstandig opereert op het gebied van IT en cybersecurity. Je gebruikt software van externe leveranciers, je data staat in de cloud bij een provider, je netwerk wordt beheerd door een managed service provider, en je hardware komt via internationale toeleveringsketens. Elk van deze schakels kan een potentieel toegangspunt vormen voor aanvallers als de beveiliging ervan tekortschiet.

Nederlandse bedrijven onderschatten dit risico structureel. Onderzoek laat zien dat bijna de helft van de Nederlandse bedrijven (44%) hun leveranciers niet regelmatig controleert op cybersecurity-risico's of risicobeoordelingen uitvoert. Slechts 17% heeft vertrouwen in het eigen vermogen om de cybersecuritymaatregelen van leveranciers adequaat te monitoren, ruim onder het mondiale gemiddelde van 34%. Dit terwijl het verlies van een enkele leverancier voor slechts 24 uur de dagelijkse operatie van 87% van de ondervraagde Nederlandse bedrijven zou treffen. De NIS2-richtlijn vereist dan ook expliciet dat organisaties in essentiele en belangrijke sectoren de cybersecurity van hun leveranciersketen structureel beoordelen en borgen.

Bekende voorbeelden van supply chain-incidenten illustreren de impact. De SolarWinds-aanval in 2020 compromitteerde duizenden organisaties wereldwijd via een geinfecteerde software-update van een vertrouwde IT-managementtool. In Nederland werd een grote kaastoeleverancier van Albert Heijn getroffen door ransomware in 2021, met directe gevolgen voor de bevoorrading van supermarkten. In de Rotterdamse haven legde een cyberaanval een containerterminal volledig plat in 2017, met gevolgen voor de hele logistieke keten die ervan afhankelijk was.

Hoe pas je leveranciersketen-beveiliging toe?

Effectieve beveiliging van je leveranciersketen begint met een complete inventarisatie van alle leveranciers, dienstverleners en softwarecomponenten waarvan je organisatie afhankelijk is. Dit omvat niet alleen directe leveranciers maar ook hun underleveranciers, de zogenaamde sub-tiers, die indirect invloed hebben op jouw beveiliging. Gebruik hiervoor een leveranciersregister dat minimaal bevat: de naam en contactgegevens van de leverancier, welke diensten of producten ze leveren, welke data ze verwerken of waar ze toegang toe hebben, en hun beveiligingscertificeringen en -beleid.

Stel beveiligingseisen op voor je leveranciers en neem deze op in contracten en service level agreements. Concrete eisen kunnen zijn: verplichte certificeringen zoals ISO 27001, regelmatige penetratietests, meldplicht voor beveiligingsincidenten binnen 24 uur, het recht op audits, en specifieke technische eisen zoals encryptie van data in transit en in rest. Monitor de naleving van deze eisen periodiek, niet alleen bij het aangaan van het contract maar gedurende de hele looptijd van de relatie.

Implementeer technische maatregelen om de impact van een gecompromitteerde leverancier te beperken. Segmenteer je netwerk zodat een aanvaller die via een leverancier binnenkomt niet direct toegang heeft tot je volledige omgeving. Beperk de toegangsrechten van leveranciers tot het strikt noodzakelijke via het principe van least privilege. Monitor het verkeer en de activiteiten van leveranciers op je netwerk actief, en zorg voor snelle detectie van afwijkend gedrag dat kan wijzen op een compromittering in de keten. Overweeg het gebruik van een Software Bill of Materials (SBOM) voor alle ingekochte software zodat je snel kunt beoordelen of een gepubliceerde kwetsbaarheid relevant is voor componenten in je softwarestack.

Leveranciersketen in de praktijk

Een praktijkscenario: je organisatie gebruikt een populaire boekhoudsoftware die automatisch updates ontvangt van de leverancier. Een aanvaller compromitteert het build-systeem van de softwareleverancier en injecteert kwaadaardige code in de volgende update. Wanneer je organisatie de update automatisch installeert, wordt ook de malware geinstalleerd met dezelfde rechten als de oorspronkelijke software. De aanvaller heeft nu een voet aan de grond in je netwerk via een vertrouwd kanaal dat je firewall en antivirussoftware niet als verdacht markeren omdat het van een bekende en vertrouwde bron komt.

Dit scenario illustreert waarom beveiligingsmaatregelen op je eigen netwerk niet voldoende zijn als je de leveranciersketen niet meeneemt in je risicoanalyse. De aanval komt binnen via een vertrouwd kanaal dat specifiek is ontworpen om je verdediging te omzeilen. Bescherming vereist een combinatie van leveranciersbeoordeling, technische segmentatie, monitoring van leveranciersactiviteiten op je netwerk en een incident response plan dat specifiek rekening houdt met supply chain-compromitteringen als aanvalsscenario.

Het is bovendien raadzaam om voor kritieke leveranciers een concreet noodplan te ontwikkelen voor het scenario dat de leverancier zelf wordt gecompromitteerd, uitvalt of niet meer beschikbaar is. Dit plan omvat het identificeren van alternatieve leveranciers die snel kunnen worden geactiveerd als vervanging, gedetailleerde procedures voor het isoleren van de getroffen leverancier van je netwerk en systemen, en communicatieprotocollen voor het tijdig en transparant informeren van je eigen klanten, partners en toezichthouders over de ontstane situatie en de genomen maatregelen om de impact te beperken en herhaling te voorkomen.

Veelgestelde vragen over leveranciersketen

Wat is een supply chain-aanval?

Een supply chain-aanval is een cyberaanval waarbij de aanvaller niet jouw organisatie direct aanvalt, maar een leverancier of softwarecomponent in je keten compromitteert. Via die gecompromitteerde schakel krijgt de aanvaller vervolgens indirect toegang tot jouw organisatie en mogelijk alle andere afnemers van die leverancier.

Hoe beoordeel je de cybersecurity van een leverancier?

Vraag naar certificeringen zoals ISO 27001 en SOC 2. Stel een beveiligingsvragenlijst op die leveranciers moeten invullen. Neem het recht op audits op in je contracten. Monitor publieke informatie over incidenten bij je leveranciers. Overweeg gespecialiseerde diensten voor continuous supplier risk monitoring.

Verplicht NIS2 leveranciersbeoordeling?

Ja. De NIS2-richtlijn vereist dat organisaties in essentiele en belangrijke sectoren de cybersecurity-risico's in hun leveranciersketen beoordelen en passende maatregelen treffen. Dit omvat het stellen van beveiligingseisen aan leveranciers en het monitoren van de naleving daarvan.

Hoe beperk je de impact van een supply chain-aanval?

Implementeer netwerksegmentatie om de bewegingsvrijheid van een aanvaller te beperken. Beperk leverancierstoegang tot het strikt noodzakelijke. Monitor leveranciersactiviteiten op afwijkend gedrag. Houd een incident response plan klaar dat specifiek supply chain-scenario's adresseert.

Wat is een SBOM en waarom is het relevant voor de leveranciersketen?

Een Software Bill of Materials (SBOM) is een volledige inventarislijst van alle softwarecomponenten, bibliotheken en afhankelijkheden in een applicatie. Het helpt je om snel te beoordelen of een nieuw ontdekte kwetsbaarheid relevant is voor software die je hebt ingekocht van leveranciers.

Meer weten over ketenbeveiliging? Bekijk Consultancy & Advies op IBgidsNL.