Cybercriminelen bellen niet aan de voordeur
Ze zoeken een partij met toegang langs de weg die het minst beveiligd is en komen langs zijwegen en achterpoortjes bij jouw bedrijf binnen.
1 op 2 |
+50% |
|
Vlaamse bedrijven werd in 2024 slachtoffer van een cyberaanval |
Stijging van aanvallen op Europese KMO's in één jaar tijd |
Wat die cijfers niet tonen: een groeiend deel van die aanvallen startte niet bij het slachtoffer zelf. Ze kwamen binnen via een partij in de keten, iemand met toegang die niemand op dat moment in vraag stelde.
Dat is de kern van supply chain security: niet alleen je eigen beveiliging is belangrijk, maar de vraag of iedereen met toegang tot jouw systemen even zorgvuldig omgaat als jijzelf.
Cybercriminelen denken in kosten en baten. Een groot bedrijf dat zwaar beveiligd is, kost hen veel moeite om te hacken. Een kleine leverancier die toegang heeft tot datzelfde grote bedrijf? Dat is een stuk interessanter. KMO's worden bewust geviseerd als achterdeur naar grotere doelwitten. Niet ondanks hun omvang, maar dankzij de manier waarop ze verankerd zijn in bredere ketens.
Concrete vragen die je jezelf kan stellen
Wie heeft toegang tot wat?
Breng in kaart welke externe partijen toegang hebben tot jullie systemen of inzage krijgen in data. Niet vanuit wantrouwen, maar om het overzicht te bewaren. In de praktijk blijken er vaak toegangen te bestaan die ooit zijn ingesteld en nadien nooit meer werden afgesloten. Dat kan zelfs gaan om eenvoudige deel-links naar OneDrive‑bestanden die ooit zijn aangemaakt en nog steeds actief zijn.
Welke toegangen zijn er ooit verleend en zijn ze nog actueel?
Toegangen voor tijdelijke projecten, afgelopen samenwerkingen of vertrokken medewerkers blijven vaak openstaan zonder dat iemand het doorheeft. Een aanvaller hoeft geen nieuw lek te vinden als een oud deurtje nooit is dichtgedaan.
Zijn er contractuele afspraken over beveiliging?
Een samenwerking zonder duidelijke afspraken over hoe je data behandeld wordt, is een open uitnodiging voor onduidelijkheid achteraf, ook juridisch.
Ook jij bent leverancier
Tot hier de vraag hoe je jezelf beschermt. Maar er is een tweede kant aan dit verhaal, en die wordt te weinig besproken: jouw klanten vertrouwen jou net zo goed als jij jouw leveranciers vertrouwt.
Als jij toegang hebt tot de systemen, data of processen van jouw klanten, ook indirect, dan ben jij een schakel in hún keten. Een aanval via jou kan hen treffen. En dan is de vraag niet meer alleen technisch.
Een lek waarbij klantdata uitlekt via jouw systemen kan leiden tot:
Juridisch: Boetes van de Gegevensbeschermingsautoriteit. Persoonlijke bestuurdersaansprakelijkheid onder NIS2, ook voor KMO's in de keten.
Financieel: Schadeclaims van klanten die schade leden doordat de aanval via jouw bedrijf binnenkwam. Herstelkosten die gemiddeld weken in beslag nemen.
Relationeel: Een klant die ontdekt dat zijn data op straat lag via jullie systemen, trekt daar consequenties uit.
Operationeel: Herstel na een supply chain-incident duurt langer dan na een directe aanval, omdat de bron van het lek eerst geïdentificeerd moet worden.
Steeds meer inkopers en aanbesteders vragen expliciet naar de cybersecurity-maatregelen van hun leveranciers. Wie kan aantonen dat zijn digitale omgeving op orde is, wint contracten die anderen mislopen. Tegenwoordig is cybersecurity geen kostenpost meer, maar een investering in je marktpositie.
Vervolgstappen die je kan nemen
Stel je je na het lezen van dit artikel vragen over welke partijen toegang hebben tot jouw omgeving? Heb je hulp nodig om in kaart te brengen of die toegangen nog actueel en afgeschermd zijn? We helpen jullie graag om de juiste afspraken te maken met jouw klanten en leveranciers en waar nodig bij te sturen om je eigen positie als betrouwbare partner te versterken.