De toeleveringsketen is uitgegroeid tot een van de meest kwetsbare punten in de cybersecurity van bedrijven, maar het probleem ligt niet alleen technisch. Het is ook menselijk. Ondernemingen vertrouwen op tientallen leveranciers van software, cloud-diensten, integratoren, consultants en aannemers met toegang tot interne systemen. Toch beschikken veel organisaties niet over voldoende gekwalificeerde professionals om deze digitale netwerken te beoordelen, monitoren en besturen.
Het nieuwste wereldwijde rapport van Kaspersky, Supply chain reaction: securing the global digital ecosystem in an age of interdependence, kwantificeert een spanning die veel beveiligingsteams al van dichtbij kennen. 42% van de organisaties ziet het ontbreken van gekwalificeerd personeel als een van de grootste obstakels om zich te beschermen tegen supply chain-aanvallen en vertrouwensrelaties. Evenveel respondenten geven aan dat andere veiligheidsprioriteiten de beschikbare middelen opslokken.
Deze gegevens zijn significant omdat supply chain-aanvallen geen marginale dreiging zijn. Volgens het onderzoek waren ze in de afgelopen 12 maanden de meest voorkomende cyberaanvallen waarmee bedrijven geconfronteerd werden, met 31% van de organisaties die getroffen werd. Aanvallen op basis van vertrouwensrelaties bereikten 25%. Desondanks plaatst slechts 9% van de bedrijven de toeleveringsketen onder de meest gevaarlijke bedreigingen — een disconnectie die aantoont hoezeer het risico nog wordt onderschat.
Veel afhankelijkheden, weinig teams om ze te beheersen
De moderne onderneming functioneert niet langer als een eiland. Ze gebruikt externe software, SaaS-platformen, publieke clouds, beheerde diensten, API’s, samenwerkingshulpmiddelen, onderhoudsleveranciers, ontwikkelpartners en gespecialiseerde aannemers. Elk van deze componenten kan nodig zijn voor de operatie, maar vergroot ook het aanvalspatroon.
Kaspersky schat dat organisaties gemiddeld meer dan 60 hardware- en softwareleveranciers hebben. Daarnaast variëren contractanten met toegang tot interne systemen gewoonlijk tussen 25 en 99, met een gemiddelde van 72. Dit volume vereist inventarisatie, permissiebeheer, toegangscontrole, monitoring, audits, contractuele clausules, responsplannen en voortdurende opvolging.
Het probleem is dat veel beveiligingsteams het niet aankunnen. Ze moeten vaak tegelijkertijd ransomware, phishing, kritieke kwetsbaarheden, cloud-incidenten, compliance, endpoint-beveiliging, identiteitsbeheer en AI-gerichte bedreigingen aanpakken, terwijl ook de beoordeling van derden op hen wacht. In de praktijk blijft de beveiliging van leveranciers vaak steken tussen inkoop, legal, IT en SOC, zonder een toegewijd team dat end-to-end beheer kan bieden.
| Rapportindicator | Belangrijkste gegevens |
|---|---|
| Organisaties getroffen door supply chain-aanvallen | 31% |
| Organisaties getroffen door aanvallen op vertrouwensrelaties | 25% |
| Organisaties die hun beveiliging willen versterken | 85% |
| Organisaties die hun huidige maatregelen als effectief beschouwen | 15% |
| Hardware- en softwareleveranciers per organisatie | Gemiddeld meer dan 60 |
| Aannemers met toegang tot interne systemen | Gemiddeld 72 |
| Organisaties die gebrek aan gekwalificeerd personeel aangeven | 42% |
Het tekort aan talent maakt zich duidelijk bij basiscontroles. Slechts 38% van de organisaties gebruikt multi-factor authenticatie om supply chain- en vertrouwensrelatie-risico’s te beperken. 37% sluit beveiligingsvereisten in contracten met leveranciers in, en 35% voert periodieke veiligheidscontroles uit op hun aannemers. Deze praktijken zijn bekend, maar worden niet algemeen toegepast.
Nog zorgelijker: slechts 28% evalueert de betrouwbaarheid van leveranciers voordat ze met hen samenwerken, en nauwelijks 18% controleert specifiek hun cyberveiligheid. Veel bedrijven beoordelen hun derden nog op prijs, solvabiliteit, reputatie of contractuele capaciteit, maar niet op de daadwerkelijke systemensecureit.
Krapte aan professionals transformeert risico’s in opgelopen schulden
Het tekort aan specialisten betekent niet alleen dat sommige taken-trager worden uitgevoerd. Het leidt tot een groeiende veiligheidsachterstand. Een leverancier wordt zonder voldoende screening ingeschakeld. Een serviceaccount behoudt te ruime permissies. Een integratie wordt niet gedocumenteerd. Een remote toegang blijft actief na afronding van een project. Een clausule over incidentmeldingen wordt niet in het contract opgenomen. Een kritieke leverancier wordt jarenlang niet herbeoordeeld.
Elke kleine misser lijkt afzonderlijk beheersbaar. Het probleem ontstaat wanneer deze zich opstapelt bij tientallen leveranciers en honderden toegangen. Dan verandert de supply chain van een lijst van derden in een vertrouwensnetwerk dat moeilijk te auditen is.
Het rapport benoemt ook andere belemmeringen die het probleem verergeren. 39% van de organisaties wijst op de afwezigheid van wettelijke cibersecurity-verplichtingen in contracten, een tekort dat ook in Spanje opvalt. 32% zegt dat niet-gespecialiseerd personeel de risico’s niet goed begrijpt. Deze combinatie is gevaarlijk: er ontbreken experts én er ontbreekt een veiligheidscultuur binnen de afdelingen die diensten inkopen, contracteren en implementeren.
Voor een technologisch bedrijf is de boodschap duidelijk: de markt heeft niet alleen meer tools nodig, maar ook meer professionals die die tools kunnen bedienen, risico’s interpreteren, vereisten onderhandelen met leveranciers en technische controles vertalen naar zakelijke beslissingen. Supply chain-beveiliging vereist kennis van identiteit, cloud, netwerken, architectuur, compliance, risicoanalyse, contractbeheer en incidentrespons.
Automatisering ja, maar niet als vervanger van menselijk oordeel
Tekort aan talent drijft veel bedrijven richting meer geautomatiseerde oplossingen: XDR, MXDR, NDR, dreigingsintelligentie, continue monitoring, third-party scoring of managed services. Dat is logisch. In omgevingen met weinig personeel kan uitbesteding van detectie, onderzoek en respons de reactietijd verkorten en de dekking vergroten.
Maar automatisering lost het onderliggende probleem niet op. Een hulpmiddel kan afwijkingen detecteren, gebeurtenissen correleren of gecompromitteerde inloggegevens bewaken. Maar kan het altijd bepalen welke leverancier kritisch is, welke toegang moet worden ingetrokken, welke clausule ontbreekt in een contract of welke afhankelijkheid acceptabel is voor het bedrijf? Daar blijft menselijk oordeel vereist.
Kaspersky adviseert een gelaagde verdediging: leveranciers vooraf beoordelen, beveiligingsverplichtingen opnemen in contracten, het principe van minimaal privilege en zero trust toepassen, identiteitsbeheer versterken, continu monitoren, netwerkzichtbaarheid verbeteren, gebruik maken van third-party digital footprint intelligence en specifieke responsplannen ontwikkelen voor supply chain-incidenten.
| Kritisch gebied | Wat is nodig |
|---|---|
| Inkooptechnologie | Cybersecurity-evaluatie vooraf |
| Legal en compliance | Veiligheidsclausules, audits en incidentmanagement |
| IT en architectuur | Inventarisatie van integraties en toegangen |
| SOC | Monitoring van derde partijen | Identiteitsbeheer | Minimaal privileges, MFA en periodieke review |
| Topmanagement | Prioritering in budget en risicobeheer |
De kern ligt niet in het enkel afvinken van een checklist. Het controleren van een ISO-certificaat, een pentest laten uitvoeren of een veiligheidsbeleid lezen helpt wel, maar is niet voldoende zonder voortdurende monitoring, permissiebeheer en responsmogelijkheden. De beveiliging van leveranciers is geen statisch moment — het is een continu proces.
Cybersecurity als concurrentievoordeel
Een opvallende bevinding uit het rapport is dat 69% van de organisaties bereid zou zijn om cybersecuritykosten te delen met haar contractpartners, indien dat zou zorgen voor betere bescherming, en dat 25% dat al doet. Deze verandering in mentaliteit betekent dat het eisen van veiligheid aan een kritieke leverancier niet langer voldoende is; er moet ook worden geholpen om die veiligheid te bereiken.
Dat is vooral relevant voor kleinere leveranciers die essentiële diensten leveren aan grote bedrijven. Een tech-onderneming kan diepgaande expertise hebben, maar mogelijk niet de capaciteit om een volwassen beveiligingsteam te handhaven. Als die kleine onderneming een kritieke schakel wordt, heeft de klant twee opties: risico nemen of samenwerken aan risicoreductie.
Supply chain cybersecurity zal van een compliance-vereiste verschuiven naar een commercieel criterium. Bedrijven die goede praktijken, transparantie en responsiviteit kunnen aantonen, krijgen een voordeel. Een veilige leverancier worden zal net zo veel wegen als lage kosten, snelheid of functionaliteit.
Het tekort aan professionals is dus niet alleen een intern probleem, maar een probleem voor het hele digitale ecosysteem. Zonder voldoende talent kunnen bedrijven leveranciers niet goed beoordelen, kunnen leveranciers niet voldoen aan strengere eisen, en verspreiden incidenten zich gemakkelijker.
Het rapport van Kaspersky brengt een ongemakkelijk bericht aan de industrie: de supply chain is al een van de voornaamste aanvalsvectoren, maar organisaties besteden er nog steeds niet de juiste aandacht, personeel of processen aan. In een verbonden wereld waar iedereen van iedereen afhankelijk is, beïnvloedt het tekort aan cybersecuritytalent niet alleen degenen die niet kunnen aannemen, maar de hele keten.
Veelgestelde vragen
Waarom ontbreken er cybersecurityprofessionals voor het beheer van leveranciers?
Omdat het beveiligen van derden gespecialiseerde profielen vereist die technische, juridische, risicovolle, cloud-, identity-, monitoring- en incidentrespons-kennis combineren. Veel bedrijven hebben deze teams al vol, met andere prioriteiten.
Wat is het risico van onvoldoende beoordeling van leveranciers?
Een leverancier met een gecompromitteerde account, een slechte cloudconfiguratie, onopgeloste kwetsbaarheden of te ruime permissies kan een ingang bieden voor aanvallen op het bedrijf zelf.
Welke basismaatregelen moeten worden genomen?
Inventariseer leveranciers en toegangen, gebruik MFA, pas het principe van minimaal privilege toe, sluit beveiligingsclausules in contracten in, voer evaluaties uit voorafgaand aan samenwerking, monitor continu en ontwikkel responsplannen met de mogelijkheid tot snelle ontkoppeling.
Kan automatisering het tekort aan personeel compenseren?
Automatisering kan helpen, vooral met tools als XDR, MXDR, NDR en dreigingsintelligentie, maar vervangt niet het menselijke oordeel dat nodig is om risico’s te prioriteren, verplichtingen te onderhandelen en zakelijke beslissingen te nemen.
Bron: Open Security