Continue Monitoring: Het Opvullen van de Beveiligingsgaten in Leveranciersrisicobeheer

Supply chains zijn de lijm die de wereldwijde economie bijeenhoudt. Ze vormen ook een aanzienlijke bron van cybergerelateerd bedrijfsrisico. Aanvallen op leveranciers zijn tussen 2021 en 2024 met 431% toegenomen, en er wordt verwacht dat ze zullen blijven stijgen. Dat is slecht nieuws voor de ondernemingen die zaken met hen doen. IBM schat dat een inbreuk op derdepartijleveranciers gekoppeld is aan een van de hoogste kosten voor gegevenslekken van elk incidenttype: $4,9 miljoen per inbreuk.

De uitdaging voor risico- en cybersecurityleiders is dat bestaande risicobeheermiddelen onvolmaakt zijn. Ze kunnen langzaam, resource-intensief en vol blindspots zijn. Echt leveranciersrisicobeheer komt voort uit continue toezicht en controle.

De onstuitbare groei van supply chains

Complexe, gefragmenteerde supply chains zijn de prijs die we betalen voor wereldwijde handel. In de afgelopen tien jaar of meer zijn ze gegroeid om aan de consumentenvraag naar meer keuze en lagere kosten te voldoen, aangedreven door een explosie in online winkelen. Tegelijkertijd zijn digitale supply chains ook enorm gegroeid, dankzij de verspreiding van software as a service (SaaS), managed service providers (MSP’s) en de vraag van bedrijven naar innovatievere, efficiëntere manieren van werken.

Het resultaat? Ondoorzichtigheid waar er inzicht zou moeten zijn, en stijgende niveaus van bedrijfsrisico die winsten en harde loyaliteit van klanten kunnen bedreigen. Volgens een schatting heeft zelfs het gemiddelde MKB 800 leveranciers. Wanneer leveranciers van leveranciers worden meegerekend, komen de cijfers al snel in de duizenden bedrijven.

Een riskant bedrijf

Dit is slecht nieuws voor CISO’s en hun teams, die een manier moeten vinden om de onvermijdelijke cybersecurityrisico’s die voortkomen uit uitgebreide supply chains te beheren. Inbreuk op leveranciers en supply chains was verantwoordelijk voor 15% van de gegevenslekken vorig jaar, volgens IBM. Verizon beweert dat het cijfer zelfs is verdubbeld in het afgelopen jaar tot 30%. Wat het werkelijke cijfer ook is, het is duidelijk uit echte incidenten dat dit soort schade kan veroorzaken.

Derde partijen zoals outsourcers en professionele dienstverleners kunnen zeer gevoelige toegangsreferenties en andere gegevens van hun klantorganisaties opslaan. Het kan gaan om hoog gereguleerde persoonlijk identificeerbare informatie (PII) over klanten en medewerkers. Of IP, handelsgeheimen of niet-openbare financiële gegevens. Alles wat een grote aantrekkingskracht heeft voor digitale afpersers, die het kunnen stelen en/of versleutelen om betaling af te dwingen. Inbreuken op derde partijen waren verantwoordelijk voor meer dan twee vijfde (41%) van de ransomware-aanvallen in 2024, volgens een studie.

Naarmate de leveranciers toenemen, neemt ook het risico op corporate fraude toe, zoals via business email compromise (BEC). Bedreigingsactoren kunnen een phishing-e-mail sturen naar een lid van het financiële team, of zelfs een senior executive, met het verzoek om betaling voor een niet-bestaande factuur. Ze maken hun aanvallen succesvoller door klant/leveranciers-e-mailaccounts te hacken, zodat ze communicatie kunnen monitoren en begrijpen hoe de facturen eruitzien. BEC-verliezen gemeld aan de FBI bereikten vorig jaar bijna $2,8 miljard, waarmee het de op een na hoogste cybercrime werd.

Dan zijn er nog de leveranciers van leveranciers. Een rapport uit 2023 beweert dat de helft van de onderzochte organisaties indirecte relaties had met ten minste 200 vierde partijen die in de voorafgaande twee jaar waren gehackt. Hoe kleiner de leverancier, hoe minder middelen ze mogelijk hebben om te besteden aan best practice cybersecurity.

AI is een geschenk voor hackers

AI-technologie wordt steeds vaker gebruikt door cybercriminelen om hun succesratio te verbeteren. In feite waarschuwden Britse regeringsdeskundigen dit jaar dat de technologie “waarschijnlijk zal blijven zorgen voor een toename van de effectiviteit en efficiëntie van cyberinbreukoperaties”.

We zien dit in de manier waarop generatieve AI het mogelijk maakt om phishingcampagnes te creëren in natuurlijke, vloeiende lokale talen. In de manier waarop het kan helpen bij het zoeken naar systeemzwakheden en het selecteren van doelwitten. En in de manier waarop het mogelijk zelfs kan helpen bij het creëren van malware en exploits. Dat is waarom AI zal leiden tot “een toename van de frequentie en intensiteit van cyberdreigingen” in de komende twee jaar, waarschuwt het rapport.

Afhankelijk van het type en de omvang van het beveiligingsincident, varieert de impact voor klanten van een gehackte leverancier van financiële en reputatieschade tot regulatorisch risico en operationele verstoring. Hoe langer een incident onopgemerkt blijft, hoe meer tijd bedreigingsactoren hebben om binnen het netwerk te komen en, uiteindelijk, hoe meer het zal kosten om het op te ruimen en te herstellen. Helaas nemen supply chain-inbreuken de langste tijd in beslag om op te lossen, volgens IBM.

Een voorbeeld is de recente bekendmaking van een grote ransomware-inbreuk bij de miljoenenomzet BPO-leverancier Conduent. Meer dan 11 miljoen Amerikanen kunnen hun socialezekerheidsnummers, ziektekostenverzekering en medische informatie hebben blootgesteld, volgens rapporten. En hoewel ze pas in november 2025 werden gemeld, wordt aangenomen dat het bedrijf al in oktober 2024 is gehackt.

Waarom continue monitoring belangrijk is

Gelukkig kan AI ook helpen om de goede mensen te overwinnen met gemeenschappelijke uitdagingen bij het beheer van cyber-risico’s van leveranciers. Te veel organisaties worstelen met langzame, handmatige processen en lange vragenlijsten die vertragingen veroorzaken en zichtbaarheidsblindspots creëren. Inconsistentie in de documentatie van leveranciers maakt het moeilijk om risicoscores te vergelijken in het ecosysteem en te begrijpen wat het meest belangrijk is voor het bedrijf.

In plaats daarvan kan een organisatie met een data- en AI-gecentreerde aanpak automatisering gebruiken om het zware werk te doen, zowel bij de inzet als daarna. Het laatste is belangrijk omdat risico niet stopt zodra een leverancier is goedgekeurd. Het blijft evolueren, mogelijk op een uurlijkse of dagelijkse basis, met elke nieuwe softwarezwakheid, gegevenslek of misgeconfigureerd account. Leveranciers kunnen investeren in nieuwe infrastructuur, waardoor hun cyber-aanvalsvlak toeneemt. Ze kunnen nieuwe leveranciers toevoegen, waardoor hun risicoblootstelling verandert. En ze kunnen worden aangevallen door nieuwe campagnes van bedreigingsactoren.

Al deze factoren vereisen een proactievere aanpak van derdepartijrisicobeheer, die verder gaat dan het verzamelen en verwerken van leveranciersonderzoeken en -documentatie. Het moet gericht zijn op het identificeren van risico’s in real-time, zodat de organisatie snel kan handelen voordat er schade wordt aangericht.

Aan de slag met AI

Het bereiken van dit soort 360-graden, continue inzicht in cyber-risico’s van leveranciers zal veel gegevens vereisen – en intelligente algoritmen om verdachte patronen te signaleren. Hoe meer hoge kwaliteit gegevens, hoe beter de zichtbaarheid. Dit kan onder meer omvatten: dreigingsinformatiefeeds die dark web-fora scannen op vroegtijdige waarschuwingssignalen voor een inbreuk. Of kwetsbaarheidsmonitoring die ontbrekende beveiligingsupdates in de bezittingen van leveranciers benadrukt. Het kan ook bewijs van e-mailcompromissen onder de financiële afdelingen van leveranciers volgen, wat kan aangeven dat er binnenkort BEC-aanvallen zullen plaatsvinden. Of zelfs verdachte transactiepatronen met betrekking tot die leveranciers.

AI kan worden gebruikt om kritieke risico’s in real-time te identificeren, om onmiddellijk actie te ondernemen. En om automatisch een continue bijgewerkte risicoscore toe te kennen aan elke leverancier, gewogen volgens het beleid, de houding en de kritiek van de klant.

Agente AI kan ook een krachtige bondgenoot zijn, die autonoom complexe leveranciersdocumentatie zoals SOC 2-rapporten en in-housebeveiligingsbeleid kan analyseren en kaarten naar gevestigde kaders zoals NIST CSF of ISO 27001. Dit kan compliancezichtbaarheid bieden in slechts enkele minuten, in plaats van uren, waardoor beveiligings- en risicoteams meer tijd hebben om hogere waarde taken uit te voeren. In volwassen organisaties kunnen AI-agents mogelijk zelfs onafhankelijk routineproblemen oplossen en herstellen – of ze tenminste doorsturen naar het juiste teamlid voor onmiddellijke aandacht.

Alles bij elkaar

De sleutel is om ervoor te zorgen dat een dergelijk systeem voor beheer van cyber-risico’s van leveranciers geïntegreerd is, zodat risicogegevens niet in silo’s terechtkomen en onbruikbaar worden. Ideaal zou hetzelfde platform ook andere soorten leveranciersrisicobeheer mogelijk moeten maken, zoals in gebieden als compliance, duurzaamheid, financiën en operaties. Dat zou de soort informatie moeten verschaffen waarop betere bedrijfsbeslissingen kunnen worden genomen.

Bovenal, onthoud dat cyber-risico fundamenteel bedrijfsrisico is. Het kan nooit worden geëlimineerd. Maar het kan effectiever worden beheerd.