Zijn beveiligingsuitdagingen inherent aan de toeleveringsketen?
Volgens John Pescatore, SANS-directeur van Emerging Security Trends, is het grootste probleem dat "beslissingen in de toeleveringsketen worden genomen zonder het beveiligingsteam erbij te betrekken, of zelfs maar na te denken over beveiliging". Leveranciers en partners worden doorgaans beoordeeld op basis van financiële risico's, maar niet op de cyberbeveiligingsrisico's die gepaard gaan met het gebruik van hun producten of diensten, of de online interactie met hen. 

En pas als bedrijven te maken krijgen met een inbreuk op de beveiliging, realiseren ze zich dat ze problemen hebben met de beveiliging van hun toeleveringsketen.

"We zien dat organisaties steeds vaker diensten als BitSight, Prevalent, Risk Recon en Security Scorecard gebruiken om hun cyberbeveiligingsrisico's te beoordelen. Deze spelers kunnen risico's alleen beoordelen op basis van extern zichtbare parameters, maar ze kunnen snel reageren wanneer de status van het risico verandert", aldus de expert. 

Hij voegt eraan toe: "Toegang door derden is veel veiliger geworden door de invoering van multifactorauthenticatie voor alle toegang op afstand, waardoor phishing-aanvallen moeilijker worden.

Maar ondanks het groeiende bewustzijn is beveiliging nog geen factor bij de selectie van partners in de toeleveringsketen. "Organisaties moeten ook leren om de risico's die leveranciersverbindingen kunnen vormen voor hun bedrijfsprocessen beter te herkennen", zegt Pescatore.

In de toekomst "zullen hackers AI en machine learning tools gebruiken om meer gerichte aanvallen uit te voeren. Aan de andere kant kunnen vaardige verdedigers deze zelfde technologieën gebruiken om verdachte elementen sneller en nauwkeuriger te detecteren. 

Welke stappen kunnen organisaties dan nemen om hun toeleveringsketen te beveiligen en zich voor te bereiden op toekomstige bedreigingen?

Volgens de deskundige "moet de inkoopafdeling bij alle beslissingen over de toeleveringsketen rekening houden met het beveiligingsaspect. Zij moeten zorgen voor de juiste instrumenten en vaardigheden om snelle veiligheidsbeoordelingen te maken zonder verstoring of vertraging te veroorzaken, en om potentieel risicovolle partners te controleren als het bedrijf niet zonder hen kan.