Waarschuwing voor meer supplychain-aanvallen

Het Europese agentschap voor cybersecurity ENISA waarschuwt voor een toename van de hoeveelheid supplychain-aanvallen. Hierbij is de code van de softwareleverancier het doelwit en kunnen partijen in de keten, zoals overheden, het slachtoffer worden.

Toename

Dergelijke aanvallen zijn al jaren een zorg, schrijft ENISA, maar cybersecuritygemeenschap constateert een toename van georganiseerde aanvallen sinds begin 2020. Het komt misschien door de robuustere beveiliging die organisaties gebruiken dat aanvallers zich zijn gaan richten op de leveranciers. De aanvallen, die grote hoeveelheden afnemers kunnen treffen, kunnen bijvoorbeeld leiden tot reputatieschade, financiële schade en onbeschikbare systemen.

Besmette code

Aanvallers kunnen bij de computers van organisaties wanneer zij, bijvoorbeeld door middel van updates, code installeren die bij de leverancier al besmet is. ‘De helft van de supplychainaanvallen wordt volgens ENISA uitgevoerd via zogeheten Advanced Persistence Threats (APT)’, schrijft AG Connect. ‘Een APT is een zeer geavanceerde hack, waarbij hackers lang de tijd (kunnen) nemen en verschillende onzichtbare hackingsmogelijkheden gebruiken.’ Zo’n type aanval zou veel moeite kosten en daarom doorgaans gericht zijn op grote bedrijven of overheidsorganisaties.

Tijdrovende maatregelen

ENISA geeft tips om deze aanvallen tegen te gaan, maar die zouden complex zijn om uit te voeren. Een advies zou bijvoorbeeld zijn om de code of software van derden te laten valideren, maar het valideren van alle software en updates is een tijdrovend en arbeidsintensief. En ook dan zijn er nog manieren om besmette code binnen te krijgen.

Aanvallen

Als voorbeeld van het ‘vernietigende’ effect van ketenaanvallen noemt ENISA de hack van het Amerikaanse softwarebedrijf SolarWinds, een van de grootste aanvallen van de afgelopen jaren. ‘Zeker als men rekening houdt met de getroffen organisaties waaronder overheidsorganisaties en grote bedrijven.’ In juli was er de ransomware-aanval op Kaseya. ‘Helaas zijn deze twee voorbeelden geen op zichzelf staande gevallen’, schrijft ENISA.

Oproep aan overheid

Drie directeuren van Nederlandse ict-beveiligingsbedrijven doen vandaag in de Volkskrant een oproep aan de overheid om meer tegen ransomware-aanvallen te doen. ‘Ransomware is inmiddels een bedreiging voor de welvaart van Nederland’, zegt Job Kuijpers van Eye.

'Totaal afwezig'

Het midden- en kleinbedrijf (mkb) zouden kwetsbaar zijn. Die kunnen zelf meer doen, maar niemand verplicht ze daartoe. ‘Niemand voelt zich verantwoordelijk voor het mkb’, vertelt Kuijpers. ‘Je zou denken dat het een taak is van Binnenlandse Zaken of de gemeenten, maar die zijn totaal afwezig. Het NCSC heeft geen mandaat en het Digital Trust Center van het ministerie van Economische Zaken is te vrijblijvend en heeft nauwelijks budget.’