BLOG – We kennen allemaal de klassieke cyberaanval: een hacker (met hoodie) dringt een bedrijf binnen, de spreekwoordelijke pleuris breekt uit en de volgende dag staat de digitale kraak op elke voorpagina. Maar anno 2025 verschuilen de echte boosdoeners zich dieper in de schaduw. Niet op je leverancierslijst, maar op de leverancierslijst van je leverancier. Welkom in de wereld van fourth party risks, een Matroesjka-pop waar elke laag kwetsbaarheden, compliance en (mogelijk) ransomware met zich meeneemt.
Vertrouwen is geen strategie maar een gok, en zeker als het gaat om derde- en vierdepartijleveranciers. Alleen omdat je directe partner een contract heeft ondertekend, betekent dat niet dat de onderaannemer best practices volgt. Product- en applicatiebeveiligingstests bieden zicht op deze black-box-afhankelijkheden. Dat is allemaal niet zo cutting edge, maar wel effectief. Het is alsof je nachtkijkers meeneemt in een donker doolhof: ineens lichten alle verborgen dreigingen op.
De matrix is echt
Bij Sans Institute hebben we een matrix op een schaal van tien punten gebouwd die risico op een betekenisvolle manier kwantificeert: van technische bevindingen tot bedrijfsimpact en menselijk gedrag. Wanneer je kunt uittekenen hoe aanvallers overspringen van een kwetsbare applicatie naar je kroonjuwelen, kun je je verdediging prioriteren. Een matrix is geen holy grail, ze zwengelen slechts het gesprek aan en helpen teams bij het afstemmen van belangrijke (beveiligings)kwesties.
Contracten zijn goed, verificatie is beter
Veel mensen denken dat een clausule in een contract een beveiligingsmaatregel is. Think again. Het is een stuk papier waarop staat dat iemand iets beloofd heeft. Wanneer was de laatste keer dat een hacker werd tegengehouden door een sla? Ja, je moet leveranciers absoluut verantwoordelijk houden. Maar verantwoordelijkheid zonder verificatie is theater. Wanneer het misgaat: wie draagt dan de gevolgen? In de gezondheidszorg is dat vaak de patiënt. Ransomwarebendes richten zich niet langer op bedrijven; ze richten zich op mensen.
Tegenslag hoort bij het proces
Transparantie bij leveranciers is lastig. Sommige partners vrezen voor het lekken van intellectual property. Anderen willen gewoon niet toegeven hoe kwetsbaar hun infrastructuur is. Ga daarom een stap dieper en duik in hun opensource-script. Wordt het nog onderhouden? Zijn er actieve CVE’s? Als het deel uitmaakt van het eindproduct, dan is het onderdeel van jouw risicoprofiel.
De prijs van gemakzucht
In 2024 zijn aanvallen via de supply chain met 179 procent gestegen. Waarom? Omdat het rendement voor cybercriminelen gigantisch is. Ze hoeven jouw bedrijf niet te hacken. Ze pakken een fourth-party-leverancier om zo toegang tot honderden organisaties te krijgen. Daarom: Stop met aannames doen, begin met verifiëren, test grondig, bouw risicoprofielen en implementeer echte, doeltreffende mitigerende maatregelen.
Hoe ver een leverancier ook van je afstaat, ze kunnen je nog steeds meesleuren naar de voorpagina van de krant.
Douglas McKee, instructeur Sans Institute
