De vraag is niet of jij veilig bent, maar of je keten dat is

Auteur: Score Utica

Tijdens onze Summit nam Fabio de zaal mee in zijn verhaal over de risico's van de hedendaagse werkplek. Het ging over de kleine, open source bouwstenen die je nergens bewust installeert, maar die in vrijwel alle software zitten die je dagelijks gebruikt. Je werkplek, je klantsysteem, de tools waarmee je belt en samenwerkt. Allemaal opgebouwd uit onderdelen waar je het bestaan niet eens van kent, en die soms door één enkele persoon worden onderhouden.

De aanval begint niet bij jou

Hackers vallen steeds vaker niet de eindklant aan, maar de bron: de beheerder van zo'n onderdeel. Eerst vertrouwen opbouwen, dan een ogenschijnlijk onschuldige update doorvoeren. Eén toegevoegde regel is genoeg.

Op het moment dat die update wordt uitgerold, gebeurt op talloze werkplekken tegelijk hetzelfde: in een paar seconden worden wachtwoorden, sleutels en bedrijfsdata weggesluisd via een versleutelde tunnel. Daarna ruimt de code zijn eigen sporen op. Je netwerk ziet niets, omdat het pakketje zo klein is.

Een paard van Troje op je werkplek

Wat er in die seconden werd geïnstalleerd, heeft een naam: een RAT, oftewel een Remote Access Trojan. Ken je het verhaal van het paard van Troje? Een prachtig standbeeld voor de poort, maar in de buik zitten de aanvallers verstopt. Een RAT werkt precies zo. Vermomd als iets wat je vertrouwt, zoals een update, maar van binnen kwaadwillend.

En een RAT kijkt niet alleen mee. Hij geeft de aanvaller volledige toegang tot je systeem: commando's uitvoeren, data stelen, met je meekijken vanuit jouw eigen blik. Allemaal zonder dat jij het ziet.

Het bleef ook niet bij die eerste paar seconden. Een werkplek die interessant genoeg is, wordt het startpunt voor meer: ransomware om te gijzelen, spyware om langer mee te kijken. Want een hacker is er zelden een paar seconden. Een hacker zit gemiddeld een half jaar in je omgeving, zonder dat je het doorhebt.

Dat is het verraderlijke. Niet de explosie, maar de stilte. Iets wat je vertrouwt, dat geduldig blijft zitten.

Dit heet een supply chain attack

De aanvaller begint bewust bovenaan de keten. Pak je de beheerder, dan pak je zijn tool. Pak je de tool, dan pak je iedereen die hem gebruikt. En jouw klant heeft weer zijn eigen keten. De vraag is dus niet langer óf je in een keten zit, maar welke schakel je bent, en naar welk volgend bedrijf jij de haak vormt.

Het is niet meer: ben ik veilig? Het is: is mijn keten veilig?

Wat dit betekent voor bestuur én IT

Met de Cyberbeveiligingswet (de opvolger van NIS2) is dit geen IT-vraagstuk meer, maar een bestuurlijke verantwoordelijkheid. Of jij nu wél of niet onder de wet valt, je klant of je leverancier wel. En die rekent op jou.

Vergelijk het met brandveiligheid. Overal hangt een brandblusser, vanzelfsprekend. Waarom regelen we dat niet net zo vanzelfsprekend voor onze digitale keten?

Begin met drie vragen

Wie zijn je leveranciers, staan ze in kaart? Heb je vastgelegd wie waarvoor verantwoordelijk is? En: wie beheert het risico? Als het antwoord nu "dat weten we niet" is, dan is dat precies waar het gesprek begint.

Maak het bespreekbaar. Niet zomaar tools gebruiken waar je geen zeggenschap over hebt. Wel samen met je leveranciers én klanten nadenken over weerbaarheid. Want veiligheid werkt alleen als de hele keten meedoet.

Begin het gesprek voordat een ander het voor je begint

Bij Score Utica geloven we niet in bangmaken. We geloven in voorbereiden. Ketenverantwoordelijkheid klinkt groot, maar het begint klein: met die drie vragen, met inzicht in je leveranciers, en met security die net zo vanzelfsprekend wordt als de brandblusser aan de muur.

Wil je weten hoe veilig jouw keten écht is? Wij helpen je om het scherp te krijgen, van leverancier tot eindklant en van werkplek tot bestuurstafel.

Plan een afspraak in met een expert

Boek een afspraak