Phishing trends: Zijn uw leveranciers een onverwacht veiligheidsrisico?
Phishing trends: Zijn uw leveranciers een onverwacht veiligheidsrisico?
Uw organisatie voorbereiden op elke mogelijke vorm van cyberaanval is alleen een haalbare tactiek als uw leveranciers en partners dezelfde hoge normen hanteren. Als een SaaS-leverancier bijvoorbeeld het slachtoffer wordt van een hack of een datalek, lopen ook zijn klanten gevaar.
Een recent voorbeeld van het daadwerkelijke risico voor een heel ecosysteem was te zien aan het eind van 2020 en het begin van 2021. Toen beveiligingsspecialist FireEye een aanval van een natiestaat op SolarWinds ontdekte, had dat verstrekkende gevolgen. Over de hele wereld werden bedrijven en overheden in gevaar gebracht door kwetsbaarheden in de beveiligingsinfrastructuur van één leverancier. Bekende slachtoffers waren onder meer Microsoft, MalwareBytes en de regering van de Verenigde Staten.
Wat je kan doen
Het kan bijzonder moeilijk zijn om zich te beschermen tegen de risico's van leveranciers of partners: het is onmogelijk om hun (kritieke) infrastructuur te controleren of te bewaken en als een organisatie eenmaal echt een SaaS-oplossing heeft ingebouwd, heeft zij geen andere keuze dan te vertrouwen op de soliditeit van de beveiliging van haar partner.
Toch is het altijd mogelijk om de verdedigingsmechanismen van een leverancier te bespreken. Het is de plicht van elke organisatie om vraagtekens te zetten bij de werkwijze van nieuwe partners op het gebied van cyberbeveiliging - als een leverancier verouderde protocollen gebruikt, moeten zij verantwoordelijk worden gehouden voor het in gevaar brengen van het ecosysteem. Vraag altijd welke certificeringen ze volgen en of ze hun personeel opleiden in nieuwe procedures en technieken.