Een nieuw wereldwijd onderzoek van Kaspersky heeft het tekort aan gekwalificeerde IT-beveiligingsmedewerkers en de noodzaak voor wereldwijde organisaties om prioriteit te geven aan verschillende beveiligingstaken om het risico van aanvallen op de toeleveringsketen en vertrouwde relaties te beperken, aan het licht gebracht. Beide factoren werden door bijna de helft (42%) van de respondenten genoemd.
Uit een recent onderzoek van Kaspersky naar risico’s in de toeleveringsketen en vertrouwde relaties bleek dat aanvallen op de toeleveringsketen een van de grootste bedreigingen voor bedrijven zijn geworden, waarbij één op de drie organisaties het afgelopen jaar door een dergelijke aanval werd getroffen. De omvang en frequentie van aanvallen op de toeleveringsketen maken het noodzakelijk om de belangrijkste redenen te achterhalen waarom bedrijven de risico’s niet succesvol kunnen aanpakken
Personeelsgebrek
Volgens het onderzoek is een van de belangrijkste belemmeringen voor het verminderen van risico’s in de toeleveringsketen en vertrouwde relaties het gebrek aan gekwalificeerd personeel. Dit tekort zorgt ervoor dat organisaties niet in staat zijn om consistent toegang te krijgen tot en mogelijke kwetsbaarheden van derden in hun ecosystemen te monitoren. De behoefte aan beveiligingsprofessionals om dergelijke risico’s effectief aan te pakken is met name groot in Vietnam, de VAE, Mexico en Spanje.
Naast andere belangrijke obstakels noemden respondenten de noodzaak om meerdere cybersecurityprioriteiten tegelijk te beheren, wat vooral prominent aanwezig was bij respondenten in India, Vietnam, Singapore en Egypte. Dit weerspiegelt het feit dat beveiligingsteams te veel taken tegelijk uitvoeren, waardoor bedreigingen voor de toeleveringsketen mogelijk onopgemerkt blijven.
Naast beperkte middelen wijzen respondenten ook op structurele problemen: 39% geeft aan dat hun contracten geen duidelijke IT-beveiligingsverplichtingen voor aannemers bevatten, waarbij contractuele lacunes vooral prominent aanwezig zijn in Vietnam, Turkije, Spanje en Mexico. Verder merkt 32% op dat niet-IT-beveiligingspersoneel deze risico’s vaak niet volledig begrijpt.
Bescherming risico’s toeleveringsketen
Wereldwijd erkent maar liefst 85% van de bedrijven in het onderzoek dat hun organisaties de bescherming tegen risico’s in de toeleveringsketen en vertrouwde relaties moeten verbeteren. Slechts 15% van de bedrijven acht hun huidige beveiligingsmaatregelen effectief. Dit vertrouwen daalt nog verder in belangrijke economieën zoals Duitsland (6%), Turkije (7%), Italië (8%), Brazilië (8%), Rusland (8%) en Saoedi-Arabië (9%).
Tegelijkertijd blijkt uit het onderzoek dat de huidige methoden om risico’s van derden te beperken gefragmenteerd zijn, waarbij geen enkele beveiligingsmaatregel door meer dan 40% van de huidige gebruikers wordt toegepast. Zelfs de meest gangbare beveiligingsmaatregel, tweefactorauthenticatie, wordt slechts door 38% van de respondenten gebruikt.
Bovendien voert slechts 35% van de organisaties regelmatig controles uit op de cybersecuritystatus van hun contractanten. Hierdoor heeft bijna twee derde van de bedrijven geen continu inzicht in de beveiliging van hun partners, waardoor ze kwetsbaar blijven voor steeds veranderende beveiligingslekken in hun ecosystemen.
Strengere maatregelen na aanvallen
Het is opvallend dat bedrijven die al te maken hebben gehad met aanvallen op de toeleveringsketen en vertrouwensrelaties, doorgaans strengere beveiligingsmaatregelen nemen. Bedrijven die getroffen zijn door incidenten in de toeleveringsketen vragen vaker om resultaten van penetratietests (56%), terwijl slachtoffers van schendingen van vertrouwensrelaties prioriteit geven aan controles op naleving van industriestandaarden (56%) en het eigen beleid van hun leveranciers met betrekking tot de toeleveringsketen (53%).
Sergey Soldatov, Head of Security Operations Center bij Kaspersky.: “Wanneer beveiligingsteams overbelast en onderbezet zijn en prioriteit moeten geven aan urgente taken boven prioriteiten op het gebied van veerkracht op de lange termijn, zijn organisaties kwetsbaar voor bedreigingen die zich ongemerkt door hun leveranciersnetwerk kunnen verspreiden. Om deze cyclus te doorbreken, moet de sector meer uniforme en consistente mitigatiestrategieën hanteren, van gestandaardiseerde beoordelingen van leveranciers tot een grotere bewustwording binnen teams. Beveiliging van de toeleveringsketen moet een gedeelde, afdwingbare verantwoordelijkheid worden binnen het gehele bedrijfsnetwerk.“
Alleen door preventieve maatregelen in de hele organisatie te implementeren en strategisch om te gaan met partnerschappen met leveranciers en aannemers, kunnen bedrijven de risico’s in de toeleveringsketen verminderen en de veerkracht van hun bedrijf waarborgen.
Adviezen risicobeperking
Om dergelijke risico’s te beperken, adviseert Kaspersky het volgende:
- Kies voor beheerde beveiligingsdiensten. Voor organisaties zonder eigen cybersecurity-resources is outsourcing de beste oplossing. Gebruik diensten die de volledige incidentbeheercyclus bestrijken – van dreigingsidentificatie tot continue bescherming en herstel.
- Investeer in aanvullende cybersecurity-cursussen. Verbeter de cybersecurity-kennis van uw medewerkers met praktijkgerichte zelfstudie- of live Kaspersky Cybersecurity Training. Deze trainingsprogramma’s helpen beveiligingsprofessionals hun vaardigheden te verbeteren en bedrijven te beschermen tegen geavanceerde aanvallen.
- Evalueer leveranciers grondig voordat u een overeenkomst sluit. Controleer hun cybersecuritybeleid, informatie over eerdere incidenten en naleving van de branchestandaarden voor beveiliging. Voor software en clouddiensten is het ook aan te raden om kwetsbaarheidsgegevens en resultaten van penetratietests te bekijken.
- Implementeer contractuele beveiligingsvereisten. Contracten met leveranciers moeten specifieke informatiebeveiligingsvereisten bevatten, zoals regelmatige beveiligingsaudits, naleving van het relevante beveiligingsbeleid van uw organisatie en protocollen voor incidentmeldingen.
- Werk samen met leveranciers aan beveiligingskwesties. Versterk de bescherming aan beide zijden en maak er een gedeelde prioriteit van.
Meer aanbevelingen en andere bevindingen over het beperken van risico’s in de toeleveringsketen zijn beschikbaar via de . link
