Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Magazine
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.

Waarom ‘leverancier van jouw leverancier’ groot risico kan zijn

lui
02 juni 2025 - 17:003 minuten leestijdOpinieInnovatie & Transformatie
Douglas McKee
Douglas McKee

BLOG – We kennen allemaal de klassieke cyberaanval: een hacker (met hoodie) dringt een bedrijf binnen, de spreekwoordelijke pleuris breekt uit en de volgende dag staat de digitale kraak op elke voorpagina. Maar anno 2025 verschuilen de echte boosdoeners zich dieper in de schaduw. Niet op je leverancierslijst, maar op de leverancierslijst van je leverancier. Welkom in de wereld van fourth party risks, een Matroesjka-pop waar elke laag kwetsbaarheden, compliance en (mogelijk) ransomware met zich meeneemt.

Vertrouwen is geen strategie maar een gok, en zeker als het gaat om derde- en vierdepartijleveranciers. Alleen omdat je directe partner een contract heeft ondertekend, betekent dat niet dat de onderaannemer best practices volgt. Product- en applicatiebeveiligingstests bieden zicht op deze black-box-afhankelijkheden. Dat is allemaal niet zo cutting edge, maar wel effectief. Het is alsof je nachtkijkers meeneemt in een donker doolhof: ineens lichten alle verborgen dreigingen op.

De matrix is echt

Bij Sans Institute hebben we een matrix op een schaal van tien punten gebouwd die risico op een betekenisvolle manier kwantificeert: van technische bevindingen tot bedrijfsimpact en menselijk gedrag. Wanneer je kunt uittekenen hoe aanvallers overspringen van een kwetsbare applicatie naar je kroonjuwelen, kun je je verdediging prioriteren. Een matrix is geen holy grail, ze zwengelen slechts het gesprek aan en helpen teams bij het afstemmen van belangrijke (beveiligings)kwesties.

Contracten zijn goed, verificatie is beter

Veel mensen denken dat een clausule in een contract een beveiligingsmaatregel is. Think again. Het is een stuk papier waarop staat dat iemand iets beloofd heeft. Wanneer was de laatste keer dat een hacker werd tegengehouden door een sla? Ja, je moet leveranciers absoluut verantwoordelijk houden. Maar verantwoordelijkheid zonder verificatie is theater. Wanneer het misgaat: wie draagt dan de gevolgen? In de gezondheidszorg is dat vaak de patiënt. Ransomwarebendes richten zich niet langer op bedrijven; ze richten zich op mensen.

Tegenslag hoort bij het proces

Transparantie bij leveranciers is lastig. Sommige partners vrezen voor het lekken van intellectual property. Anderen willen gewoon niet toegeven hoe kwetsbaar hun infrastructuur is. Ga daarom een stap dieper en duik in hun opensource-script. Wordt het nog onderhouden? Zijn er actieve CVE’s? Als het deel uitmaakt van het eindproduct, dan is het onderdeel van jouw risicoprofiel.

De prijs van gemakzucht

In 2024 zijn aanvallen via de supply chain met 179 procent gestegen. Waarom? Omdat het rendement voor cybercriminelen gigantisch is. Ze hoeven jouw bedrijf niet te hacken. Ze pakken een fourth-party-leverancier om zo toegang tot honderden organisaties te krijgen. Daarom: Stop met aannames doen, begin met verifiëren, test grondig, bouw risicoprofielen en implementeer echte, doeltreffende mitigerende maatregelen.

Hoe ver een leverancier ook van je afstaat, ze kunnen je nog steeds meesleuren naar de voorpagina van de krant.

Douglas McKee, instructeur Sans Institute

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    Agentic AI in actie

    De stappen van automatiseren naar écht autonoom werken. Welke toepassingen zijn succesvol?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Computable.nl

    Design Sprints: 4 dagen van idee naar prototype

    Hoe zet je in vier dagen tijd een gevalideerd prototype neer met Design Sprints?

    Geef een reactie Reactie annuleren

    Je moet ingelogd zijn op om een reactie te plaatsen.

    Populaire berichten

    Meer artikelen

    Meer lezen

    Innovatie & Transformatie

    Lummelaars veranderen de wereld

    Netwerk, hub, organisaties
    ActueelData & AI

    Ook Amsterdam krijgt eigen ai-hub

    ActueelCarrière

    Grens tussen cio en cto vervaagt

    OpinieData & AI

    Process intelligence: gamechanger voor supply chain-optimalisatie

    Trein, spoor
    ActueelCloud & Infrastructuur

    Nokia moderniseert GSM-R-netwerk Prorail

    AchtergrondCarrière

    Microlearning: leren in minuten in plaats van dagen

    ...

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine
    • Topics

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs