Dit is een expertquote in het kader van ANP Expert Support. U kunt dit bericht, of delen hiervan gebruiken op uw kanalen, met vermelding van Santosh Sharman, Kiwa. Aanleiding: Hack ict-bedrijf treft meer mensen met rijkspas: 4.500
Binnenlands Bestuur maakte eerder deze maand bekend dat cybercriminelen bij een hack bij een ICT-leverancier de persoonsgegevens van in totaal 4500 mensen met een zogeheten rijkspas hebben buitgemaakt. Daarbij gaat het niet alleen om ambtenaren, maar ook om journalisten. De gegevens zijn volgens staatssecretaris Van Huffelen (Digitalisering) inmiddels op het darkweb geplaatst.
De diefstal van de gegevens van deze rijkspasgebruikers kan leiden gevaarlijke situaties. De hacker, of iemand die deze gegevens via het darkweb in handen krijgt, kan zich hiermee voordoen als iemand anders en zo toegang krijgen tot een belangrijke asset van de rijk. Als die asset vervolgens wordt gecompromitteerd, kan er van daaruit een veel grotere hack worden gepleegd. Iemand zou zich bijvoorbeeld kunnen voordoen als iemand van de facilitaire dienst van de Tweede Kamer en zichzelf fysiek toegang verschaffen tot bijvoorbeeld de serverruimte. Als dat lukt, dan zijn de gevolgen mogelijk niet te overzien.
Hoewel het bovenstaande een worst case scenario is, geeft het wél een goed idee van wat er mis kan gaan als een leverancier van een belangrijke organisatie wordt geraakt door een cyberaanval. Organisaties hebben verschillende leveranciers voor allerlei zaken, ook voor ICT-middelen. Omdat er interactie is tussen organisaties en deze leveranciers is het een mogelijke broedplek voor cyberkwetsbaarheden. Hackers zoeken altijd de weg van de minste weerstand om hun doel te bereiken. Als dat via een leverancier is, zullen ze deze mogelijkheid zeker benutten. Dit staat bekend als een supply chain attack.
De verantwoordelijkheid ligt voor de cyberveiligheid van een organisatie daarom niet alleen bij de organisatie zélf, maar ook bij hun leveranciers. Organisaties moeten daarom ook in hun leveranciersketen orde op zaken stellen om mogelijke supply chain aanvallen te voorkomen. Enkele concepten die hierbij houvast kunnen bieden zijn:
Santosh Sharman is Product Manager IoT Security bij Kiwa