Phishing trends: zijn je leveranciers een onverwacht veiligheidsrisico?
Je leveranciers vormen voor cybercriminelen een aantrekkelijke binnenweg naar je bedrijf. En het gebeurt helaas maar al te vaak. Een ogenschijnlijk betrouwbare partner kan onbewust de deur openzetten voor phishingaanvallen, datalekken of supply chain hacks. Sinds de implementatie van de NIS2-richtlijn is dit thema urgenter dan ooit: organisaties moeten nu niet alleen hun eigen beveiliging aantonen, maar ook die van hun supply chain.
Leveranciers als zwakke schakel
Met de inzet van AI worden phishingcampagnes steeds geavanceerder en moeilijker te herkennen. Waar je medewerkers jarenlang het primaire doelwit waren (en nog steeds zijn), richten cybercriminelen zich nu ook steeds vaker op toeleveranciers. Een gecompromitteerd leveranciersaccount kan immers net zo eenvoudig toegang geven tot gevoelige gegevens, kritieke IT-systemen of zelfs de volledige supply chain. Denk bijvoorbeeld aan:
- Business Email Compromise (BEC): aanvallers nemen het account van een leverancier over en sturen overtuigende facturen of betalingsverzoeken.
- Third-party phishing: aanvallers doen zich voor als vertrouwde partner om inloggegevens of contractinformatie te ontfutselen.
- Supply chain attacks: één kwetsbare schakel kan leiden tot grootschalige inbreuken in meerdere organisaties tegelijk.
De rol van NIS2
De Europese NIS2-richtlijn legt een duidelijke verantwoordelijkheid bij organisaties om ook hun supply chain kritisch te evalueren. Het gaat daarbij niet alleen om compliance, maar vooral om het effectief verkleinen van reële risico’s in de hele keten. Concreet betekent dit:
- Zichtbaarheid: inzicht in welke leveranciers toegang hebben tot je systemen en data. Dit sluit aan bij Artikel 21(2d), waarin expliciet staat dat organisaties ook de beveiligingsaspecten van relaties met leveranciers en dienstverleners moeten meenemen in hun risicobeheer.
- Due diligence: aantonen dat je passende beveiligingsmaatregelen bij leveranciers controleert. Volgens Artikel 21(3) moet je bij het bepalen van passende maatregelen rekening houden met de kwetsbaarheden van je supply chain en je directe service providers.
- Incident reporting: ook incidenten die via een derde partij ontstaan, kunnen meldplichtig zijn. Artikel 23 schrijft voor dat een significant incident binnen 24 uur als “early warning” moet worden gemeld, binnen 72 uur gevolgd door een eerste rapportage, en binnen een maand door een definitieve melding.
Met andere woorden: “onwetendheid” is geen excuus meer.
Van vertrouwen naar verificatie
De klassieke reflex is vertrouwen op gevestigde relaties. Maar vertrouwen alleen volstaat niet meer. Wie zijn cybersecurity-strategie robuust wil maken en houden, moet overstappen naar een zero trust-aanpak: vertrouw, maar verifieer – ook bij leveranciers die al jaren partner zijn.
Conclusie: veiligheid is een gedeelde verantwoordelijkheid
Leveranciers zijn cruciaal voor de continuïteit van je organisatie, maar kunnen tegelijk een onverwacht risico vormen. Door phishingtrends nauwlettend te volgen en je ketenpartners actief te betrekken in je beveiligingsstrategie, verklein de kans op incidenten én voldoet je bedrijf aan de strengere eisen van NIS2.
Bron: eur-lex.europa.eu