Focus Supply Chain Security

De digitale valkuilen van leveranciers-management

De digitale valkuilen van leveranciersmanagement

Auteur: Tiennot van Dilst, CISSP, CEH, CIPP/e, CxCE, CTO / Security Expert

Jarenlang heb ik verschillende bedrijven mogen helpen tijdens het implementeren van de verschillende ISO standaarden. Bovendien heb ik voor een aantal jaren als QSA de PCI:DSS mogen auditeren bij verschillende bedrijven die graag online betalingen via de creditcard wilden inzetten/of als service wilde aanbieden.

In die tijd is mij wel duidelijk geworden dat er binnen de standaarden grote verschillen zitten. De een is meer gericht op het managementsysteem en is strategisch of tactisch van aard. De ander richt zich puur op een specifiek deel van een organisatie en de systemen die gebruikt worden, en deze standaard is meer operationeel van aard.

Echter naast deze verschillen zitten er zeker ook grote overeenkomsten. Deze komen voort uit het feit dat veel, zo niet alle organisaties in de basis dezelfde/behoeften hebben.

Een van de zaken waar eigenlijk alle organisaties mee van doen hebben is dat ze op enig moment afhankelijk zijn van hun leveranciers. En het begrip leverancier bedoel ik hier breed. Dit kan variëren van een internet hosting provider, de eigenaar van het pand waar het bedrijf in gehuisvest is, de reparateur van de airco of het remote security operations center waar mee gewerkt wordt. Al deze bedrijven zijn leveranciers en vormen op hun eigen manier een schakel binnen het proces om aan uw bedrijf haar diensten of producten aan te bieden

Het is dan niet zo vreemd dat leveranciersmanagement eigenlijk wel in alle standaarden naar voren komt als zijnde iets waar naar gekeken moet worden. Linksom of rechtsom vereist iedere standaard wel een bepaalde vorm van goed huisvaderschap over diezelfde processen.

Logisch toch? Helemaal als je bedenkt dat dit bij iedereen bekend is. Ook bij het hackers gilde… Misschien nog wel aantrekkelijker omdat ze ook weten dat één leverancier vaak meerdere organisaties van diensten en producten voorziet. Als ik een leverancier op de juiste manier weet binnen te dringen heb ik mogelijk toegang tot meerdere organisaties. Kortom heel interessant voor deze groeperingen om bepaalde leveranciers op de korrel te hebben.

Denk er maar eens over na, wat het voor u betekent als een van uw leveranciers gecompromitteerd is.

Voorbeeld uit de praktijk

Enige tijd geleden was ik uitgenodigd om bij een bedrijf de security door te lichten. Het bedrijf zelf is niet super groot, echter zeer afhankelijk van verschillende leveranciers. In eerste instantie bemerkte ik een aantal kleine zaken… niet netjes, maar zeker niet iets om gelijk op de rode stop knop te drukken. Echter toen ik naar hun leveranciers ging kijken, viel mij op dat er site to site VPN connectie was met de IT service organisatie. Opgezet zodat ze op afstand gemakkelijk beheer kunnen verrichten op de interne systemen van mijn klant. Daar valt wat over te zeggen maar ook niet super vreemd.

Vervolgens een kort onderzoek naar de leverancier op het internet gestart. Zijn er meer connecties? Komen hun mailadressen voor in bijvoorbeeld https://haveibeenpwned.com. Eerste bevindingen… Toch maar even verder kijken omdat ik wel wat hits krijg. OSINT (Open Source Intelligence) onderzoek gestart, met als gevolg dat ik een paar dagen later de klant dringend heb geadviseerd de site-to-site verbinding uit de lucht te halen, de leverancier alle wachtwoorden te laten veranderen, wachtwoorden op de interne systemen te laten vervangen en alle systemen door te lichten of er geen rare backdoors etc. op stonden. Op dat zelfde moment veranderde een korte  digitale healthcheck in een groot project voor alle partijen.

Maar hoe kan je dat voor zijn?

Op de eerste plaats: Wanneer u van plan bent te gaan werken met een leverancier stel vragen over hoe deze zijn beveiliging op orde heeft en kijk of dit aansluit op uw eisen en verwachtingen, overigens dit kunt u ook doen bij leveranciers waar u al mee samenwerkt. In de wat meer volwassen bedrijven is er vaak een extern leveranciersbeleid. Eigenlijk staat hierin verwoord welke zaken minimaal geregeld moeten zijn om zaken met elkaar te kunnen doen. In sommige gevallen zijn er vragenlijsten ontwikkeld die naar nieuwe of bestaande leveranciers gestuurd worden om door hun in te vullen. Uiteraard kan je met een leverancier afspreken dat er audits periodiek uitgevoerd kunnen worden (niet alle leveranciers zijn hier van gecharmeerd overigens).

Zorg ervoor dat alle gegevens gestructureerd verwerkt worden, zodat u de leveranciers met elkaar kunt vergelijken, en vergeet niet de leveranciers te wegen. De ene leverancier heeft een andere plaats in uw keten dan de andere. De IT-supplier gehackt of de bloemenleverancier gehackt; de weging van deze vraag zal door een bank anders beoordeeld worden dan een begrafenisondernemer.

Het zelf testen uitvoeren is veelal niet toegestaan en in sommige gevallen wordt dit ook geweigerd door de leveranciers. Echter bent u vrij om te kijken wat u zelf kunt vinden op het web, zolang er geen actieve scans gedaan worden.

Zelf een OSINT onderzoek is een mogelijkheid, echter doorgaans is dit zonder de juiste kennis en middelen erg lastig en zal voor veel organisaties niet haalbaar zijn.

Kan dat niet makkelijker?

Ja dat kan zeker makkelijker. Er zijn producten en diensten op de markt welke dit proces een heel stuk sneller en makkelijker maken. Een Supply Chain Risk Management oplossing implementeren zoals bijvoorbeeld van Rescana.

Rescana heeft eigenlijk twee belangrijke functionaliteiten. De eerste stelt een bedrijf in staat om standaardvragenlijsten te maken. Deze vragenlijsten worden middels een link aan de leveranciers aangeboden, om vervolgens op in te loggen en via een webformulier in te vullen. Hierbij kunnen meerdere personen of afdelingen binnen een organisatie bevraagd worden. De antwoorden worden grafisch gepresenteerd in een online dashboard. De toegang hiertoe kan op basis van rollen bepaald worden. Kortom de security officer kan andere dingen zien dan de inkoper.

Daarnaast heeft Rescana een OSINT gedeelte. Op basis van de naam van de leverancier gaat Rescana op zoek op het internet, darknet en deepweb over wat er te vinden is. Welke domeinen zijn er geregistreerd? Met welke domeinen zijn er connecties? Zijn er inbreuken geweest? In welke landen draaien de verschillende domeinen? Zijn er phishing sites bekend welke deze leverancier aanvallen? Worden er data of hacks verkocht op het darkweb m.b.t. deze leverancier,  wordt er informatie in de public cloud opgeslagen etc.?

Al deze vraagstukken worden op een passieve manier bekeken. Dus er worden geen actieve indringende scans uitgevoerd of getracht exploits te draaien.

Ook deze uitkomsten worden grafisch in het dashboard naast de beantwoording van de vragen uit de audit module gepresenteerd.

Cert2Connect