Cybercriminelen richten zich in toenemende mate op IT-leveranciers, zoals cloudbedrijven, IT-dienstverleners en softwareontwikkelaars. “Heb je als cybercrimineel een kritieke kwetsbaarheid gevonden bij een belangrijke leverancier, dan kun je vervolgens het net sluiten rond een heleboel bedrijven tegelijk”, zegt Wouter van Rooij, Global IT Security Director bij Leaseweb.
Naast het feit dat verstoringen in het IT-landschap van een bedrijf zowel de eigen operatie als die van ketenpartners kunnen raken, vormen kwetsbaarheden in IT-systemen ook een potentiële ingang naar een bredere set aan slachtoffers.
Een zwakke schakel kan leiden tot substantiële schade verderop in de keten. Zo zorgde een aanval met gijzelsoftware op logistiek bedrijf Bakker in 2021 voor lege schappen kaas bij supermarktketen Albert Heijn. Bakker kon geen orders meer aannemen, bestellingen terugvinden in de magazijnen of transporten plannen. Het incident, ook bekend onder de naam ‘kaas-hack’, begon bij een lek in Microsoft Exchange Server, een veelgebruikte mailserver voor organisaties.
Lees ook: Hoe een cyberaanval Bronneberg BV volledig platlegde
Cyberincident raakt meerdere bedrijven
Van Rooij haalt ook een hack aan waar softwareontwikkelaar Nebu begin 2023 slachtoffer van werd. Nebu bedient verschillende marktonderzoeksbureaus, die elk op hun beurt klantonderzoek doen voor tientallen organisaties. Door een cyberaanval kwamen zeker twee miljoen klantgegevens op straat te liggen. Hierdoor moesten onder andere de NS, telecombedrijf VodafoneZiggo en zorgverzekeraar CZ hun klanten informeren over het lekken van hun gegevens. Dat zijn heel veel vliegen in een klap”, aldus van Rooij.
Grote bedrijven, die automatisch samenwerken met meer partners, zijn door dergelijke praktijken kwetsbaarder. Volgens een recent rapport van het World Economic Forum (WEF) kreeg maar liefst 39 procent van de bedrijven met meer dan duizend werknemers in 2022 te maken met een cyberincident dat begon bij een leverancier, dienstverlener of partner. Onder bedrijven met minder dan duizend werknemers bedroeg dit percentage slechts een kwart.
Grote organisaties houden de cyberweerbaarheid van hun partners en leveranciers daarom kritisch tegen het licht. “Ze gaan steeds hogere eisen stellen aan hun toeleveranciers”, zegt Frank Breedijk van IT-bedrijf Schuberg Philis. “Hebben deze hun cybersecurity niet goed voor elkaar, dan doen ze geen zaken.”
Meer informatie
Lees het volledige rapport 'Mkb isoleert zich door beperkt bewustzijn cyberdreiging'. Uit onderzoek van ABN AMRO onder 233 zakelijke klanten, is gebleken dat cybercriminelen hun aandacht verleggen naar kleinere bedrijven. Waar vorig jaar het grootbedrijf nog significant meer werd aangevallen dan het mkb, zijn die verschillen nu nog marginaal. Kleinere bedrijven lijken op deze ontwikkeling weinig acht te slaan; hun risicoperceptie is gelijk gebleven.
Bron: ABN AMRO