-
Kwetsbaarheden in de supply chain
Een recent aan het licht gekomen cyberaanval op verschillende ministeries in de Verenigde Staten laat zien dat er kwetsbaarheden zitten in de supply chain van die instellingen. Dit soort kwetsbaarheden hebben we al eerder gezien, bijvoorbeeld bij Citrix. Wanneer een leverancier een steek laat vallen in de beveiliging van haar product is de schade meestal groot.
Solar Winds
Een kleine 300.000 instellingen en bedrijven in de VS gebruiken producten van Solar Winds om hun netwerken te beveiligen. In Nederland zijn er ook enkele honderden bedrijven die hiervan gebruik maken. Deze producten blijken nu een kwetsbaarheid te hebben, waarmee het relatief eenvoudig is om het beheer van complete infrastructuren over te nemen. Wanneer eenmaal de kwetsbaarheid misbruikt wordt, is het mogelijk om langzaam en doeltreffend allerlei systemen in het netwerk te voorzien van malware.
Voorlopig zijn er mitigerende maatregelen genomen en heeft Solar Winds de kwetsbaarheden opgelost. En nu hebben de klanten de taak om alle systemen na te lopen en eventueel opnieuw in te richten.Eigen netwerk
Je kunt je beveiliging helemaal op orde hebben. De beste firewalls, goede netwerkmonitoring, segmentatie van netwerken, kortom alles om slechte zaken buiten de deur te houden. Maar wie controleert de componenten die je zelf in je netwerk installeert? Het grote probleem zit tegenwoordig veel meer in de aanschaf van netwerkcomponenten zoals routers en switches. Er is een flink aantal nepartikelen in de aanbieding en die onderdelen zijn moeilijk te onderscheiden van de echte componenten. Een ander risico zit hem in slechte firmware in allerlei netwerkgekoppelde apparaten. Denk bijvoorbeeld aan IP-camera’s, sensoren voor klimaatcontrole, slecht bijgewerkte of verouderde software voor toegangscontrole en alarmsystemen. Veel van die Internet Of Things (IOT) devices bevatten firmware met slechte beveiliging en we weten niet eens of er informatie naar andere plaatsen gestuurd wordt.
De supply chain
En dan de belangrijkste kwetsbaarheid: aanvallen op onderdelen van de supply chain, om die op die manier bij jouw bedrijf binnen te komen. Wie weet heel zeker dat de beveiliging bij de leverancier helemaal up-to-date is? De ISO 27001 norm heeft een speciaal onderdeel voor supply chain management. Dus, als je ervoor zorgt dat het ISMS goed bijgewerkt is, zou je ook je supply chain gecontroleerd moeten hebben.
Een veilig 2021 gewenst!
Door Roland Verhaar; ITWorks4All
Tags: IOT, ISO27001, Leveranciers, Supply Chain
Topics
Onze werkwijze
Hoeveel tijd en kosten bespaar ik met de hulpmiddelen van Informatiebeveiligingdoejezo?
Antwoord...Wat is nieuw aan Informatiebeveiligingdoejezo?
Antwoord...Kan ik alle werkzaamheden uitbesteden?
Antwoord...Heb ik aan de hulpmiddelen van Informatiebeveiligingdoejezo voldoende?
Antwoord...