De aanval begint niet bij jou
Hackers vallen steeds vaker niet de eindklant aan, maar de bron: de beheerder van zo'n onderdeel. Eerst vertrouwen opbouwen, dan een ogenschijnlijk onschuldige update doorvoeren. Eén toegevoegde regel is genoeg.
Op het moment dat die update wordt uitgerold, gebeurt op talloze werkplekken tegelijk hetzelfde: in een paar seconden worden wachtwoorden, sleutels en bedrijfsdata weggesluisd via een versleutelde tunnel. Daarna ruimt de code zijn eigen sporen op. Je netwerk ziet niets, omdat het pakketje zo klein is.
Een paard van Troje op je werkplek
Wat er in die seconden werd geïnstalleerd, heeft een naam: een RAT, oftewel een Remote Access Trojan. Ken je het verhaal van het paard van Troje? Een prachtig standbeeld voor de poort, maar in de buik zitten de aanvallers verstopt. Een RAT werkt precies zo. Vermomd als iets wat je vertrouwt, zoals een update, maar van binnen kwaadwillend.
En een RAT kijkt niet alleen mee. Hij geeft de aanvaller volledige toegang tot je systeem: commando's uitvoeren, data stelen, met je meekijken vanuit jouw eigen blik. Allemaal zonder dat jij het ziet.
Het bleef ook niet bij die eerste paar seconden. Een werkplek die interessant genoeg is, wordt het startpunt voor meer: ransomware om te gijzelen, spyware om langer mee te kijken. Want een hacker is er zelden een paar seconden. Een hacker zit gemiddeld een half jaar in je omgeving, zonder dat je het doorhebt.
Dat is het verraderlijke. Niet de explosie, maar de stilte. Iets wat je vertrouwt, dat geduldig blijft zitten.
Dit heet een supply chain attack
De aanvaller begint bewust bovenaan de keten. Pak je de beheerder, dan pak je zijn tool. Pak je de tool, dan pak je iedereen die hem gebruikt. En jouw klant heeft weer zijn eigen keten. De vraag is dus niet langer óf je in een keten zit, maar welke schakel je bent, en naar welk volgend bedrijf jij de haak vormt.
Het is niet meer: ben ik veilig? Het is: is mijn keten veilig?
Wat dit betekent voor bestuur én IT
Met de Cyberbeveiligingswet (de opvolger van NIS2) is dit geen IT-vraagstuk meer, maar een bestuurlijke verantwoordelijkheid. Of jij nu wél of niet onder de wet valt, je klant of je leverancier wel. En die rekent op jou.
Vergelijk het met brandveiligheid. Overal hangt een brandblusser, vanzelfsprekend. Waarom regelen we dat niet net zo vanzelfsprekend voor onze digitale keten?
Begin met drie vragen
Wie zijn je leveranciers, staan ze in kaart? Heb je vastgelegd wie waarvoor verantwoordelijk is? En: wie beheert het risico? Als het antwoord nu "dat weten we niet" is, dan is dat precies waar het gesprek begint.
Maak het bespreekbaar. Niet zomaar tools gebruiken waar je geen zeggenschap over hebt. Wel samen met je leveranciers én klanten nadenken over weerbaarheid. Want veiligheid werkt alleen als de hele keten meedoet.
Begin het gesprek voordat een ander het voor je begint
Bij Score Utica geloven we niet in bangmaken. We geloven in voorbereiden. Ketenverantwoordelijkheid klinkt groot, maar het begint klein: met die drie vragen, met inzicht in je leveranciers, en met security die net zo vanzelfsprekend wordt als de brandblusser aan de muur.
Wil je weten hoe veilig jouw keten écht is? Wij helpen je om het scherp te krijgen, van leverancier tot eindklant en van werkplek tot bestuurstafel.