Hackers vallen bedrijven steeds vaker binnen via leveranciers en andere bedrijven waar ze zaken mee doen. De meeste zaken komen niet aan het licht.

Gebruik de deelknoppen op FD.nl om dit artikel te delen via Whatsapp, Twitter, Facebook, LinkedIn of e-mail. Het kopiëren van artikelen om met anderen te delen of te gebruiken voor geautomatiseerde verwerking is een inbreuk op onze Algemene Voorwaarden en ons auteursrecht en dus niet toegestaan. Wilt u artikelen delen met anderen en/of gebruiken voor geautomatiseerde verwerking, dan kunt u onder voorwaarden rechtstreeks een licentie bij FD verkrijgen. Neem voor meer informatie contact op met klanten@fdmediagroep.nl. U kunt de link naar dit artikel wél delen met anderen. Gebruik daarvoor: https://fd.nl/futures/1374887/cyberaanval-via-leverancier-vormt-nieuwe-bedreiging-voor-bedrijven

In het kort

  • Organisaties worden steeds vaker digitaal aangevallen via hun leveranciers.
  • Dat is gevaarlijk, want het binnendringen van één leverancier kan soms toegang geven tot duizenden organisaties.
  • Experts pleiten voor meer openheid door inlichtingendiensten en leveranciers zelf.

Bedrijven en instellingen moeten zich schrap zetten voor een nieuwe dreiging uit de cyberwereld. Hackers vallen bedrijven steeds vaker aan via IT-leveranciers, detacheringsbureaus, en andere bedrijven waar ze zaken mee doen. Daarvoor waarschuwen deskundigen in de nasleep van de aanval op het Amerikaanse bedrijf SolarWinds, die onlangs groot in het nieuws kwam.

Hackers bleken vorig jaar toegang te hebben gekregen tot systemen van deze Amerikaanse softwareleverancier, waarna zeker achttienduizend bedrijven die klant waren bij SolarWinds werden besmet. Onder de slachtoffers zaten Microsoft en het Amerikaanse ministerie van defensie.

Topje van de ijsberg
De aanval is het topje van de ijsberg, waarschuwen experts. Zo bleek volgens een ingewijde onlangs nog ‘een groot IT-servicebedrijf’ gehackt, dat onder andere werkt voor de Nederlandse overheid. ‘Ik heb de afgelopen tijd veel grote- en kleine zaken onderzocht. Helaas zijn de meeste slachtoffers daar nog steeds angstvallig stil over’, zegt Frank Groenewegen, cyberdeskundige en partner bij Deloitte. Eward Driehuis, directeur strategie bij IT-beveiligingsbedrijf Cybersprint, beaamt dat. ‘Er gebeurt heel veel, maar omdat de aanvallen vaak onvermeld blijven en iedereen een geheimhoudingsverklaring tekent, zijn er geen exacte aantallen bekend.’

‘Er gebeurt heel veel, maar omdat de aanvallen vaak onvermeld blijven en iedereen een geheimhoudingsverklaring tekent, zijn er geen exacte aantallen bekend’ – Eward Driehuis, directeur IT-beveiligingsbedrijf Cybersprint

De hacks zijn gevaarlijk, want met het binnendringen bij slechts één leverancier kunnen hackers toegang krijgen tot gevoelige gegevens van duizenden organisaties tegelijkertijd. De inbrekers komen binnen via geïnstalleerde software, maar ook via ‘partners’, zoals detacheringsbedrijven en IT-adviseurs, of beveiligingsbedrijven, die om wat voor reden dan ook toegang moeten hebben tot een bedrijfsnetwerk. Hackers gebruiken de toegang om informatie te stelen of het netwerk te gijzelen in de hoop dat er losgeld wordt betaald.

Ook bedrijven die een kleinere concurrent overnemen zijn geregeld slachtoffer, merkt Steven Dondorp, ceo van cyberveiligheidsbedrijf Northwave. De overnameprooi blijkt dan in stilte te zijn gehackt. Nadat de netwerken van beide bedrijven aan elkaar zijn gekoppeld, slaan de criminelen toe bij het grotere bedrijf om te spioneren of het gehele netwerk plat te leggen.

Spionage
Achter de grote, complexe, aanvallen zit doorgaans een buitenlandse overheid. ‘We zien dergelijke aanvallen vanuit Rusland en China, maar bijvoorbeeld ook vanuit Noord-Korea en Iran’, zegt Adam Meyers van het Amerikaanse cyberveiligheidsbedrijf CrowdStrike. De Nederlandse veiligheidsdiensten AIVD en MIVD waarschuwden onlangs in het FD al dat digitale spionage een bedreiging vormt voor de Nederlandse economie.

Aanvallen via leveranciers komen al langer voor. Zo werd in 2017 een belangrijke containerterminal van APM in de Rotterdamse haven platgelegd. Dat gebeurde na een aanval van vermoedelijk Russische hackers op een Oekraïense ontwikkelaar van boekhoudsoftware. Via een malafide update van die software werd vervolgens een reeks bedrijven besmet met kwaadaardige boekhoudsoftware.

Schot hagel
Traditioneel gebruiken inlichtingendiensten de toeleveringsketen om uiteindelijk bij een specifiek doel uit te komen. Steeds vaker gebruiken zij de keten ook bewust als een schot hagel. ‘Ze breken dan bijvoorbeeld in bij een telecomprovider, die heeft sowieso veel klanten’, zegt Groenewegen van Deloitte. ‘Vervolgens kiezen ze hun individuele targets uit.’

Zo werd in 2017 ingebroken bij de maker van CCleaner, een schijfopruimingsprogramma dat door miljoenen mensen wordt gebruikt. De vermoedelijk Chinese hackers installeerden bij al die gebruikers een deel van een virus, maar sloegen alleen echt aan het spioneren bij enkele specifieke hoogwaardigheidsbekleders die het programma gebruiken.

Beschermen lastig
Voor organisaties is het lastig zich te beschermen tegen ketenaanvallen. Eigenlijk zou elk bedrijf volgens deskundigen uitgebreid de cyberveiligheid van zijn leveranciers moeten testen, maar zoiets is in de praktijk ondoenlijk. Bovendien hebben die leveranciers ook weer leveranciers. ‘Of de directeur is in zijn vrije tijd penningmeester bij de hockeyclub en laat zich via die weg hacken’, zegt Eward Driehuis.

‘De hele SolarWinds-affaire kwam aan het licht omdat een bedrijf het bekendmaakte, niet een inlichtingendienst’
Frank Groenewegen, cyberdeskundige en partner bij Deloitte
Groenewegen zou willen dat inlichtingendiensten bedrijven sneller informeren als ze op de hoogte zijn van wat hackers doen. ‘Die hele SolarWinds-affaire kwam aan het licht dankzij een beveiligingsbedrijf, niet via een inlichtingendienst.’ Dat betekent volgens hem dat de diensten hun informatie geheim hebben gehouden, zelfs voor bedrijven als Microsoft. ‘Of dat de diensten het niet eens wisten, maar dat zou nog erger zijn.’

Ook leveranciers en de overheid moeten concrete informatie sneller doorgeven, zegt Matthijs Koot, IT-beveiliger bij Secura. De overheid krijgt geregeld informatie over problemen bij bedrijven, maar geeft die niet door. ‘En ook leveranciers hebben niet zelden boter op het hoofd.’

Originele link van het artikel: https://fd.nl/futures/1374887/cyberaanval-via-leverancier-vormt-nieuwe-bedreiging-voor-bedrijven