Sinds de lekken van SolarWinds is er veel geschreven over supply chain attacks, maar een duidelijke uitleg zoals die van ENISA was er nog niet. De eind vorige maand uitgekomen analyse is daarmee een aanrader. Het helpt een IT dienstverlener voor zijn eigen business en in de communicatie met zijn klanten.
Cybersecurity
ENISA is de Europese organisatie die onder andere onderzoek doet naar alles dat met cybersecurity te maken heeft. Met korte bulletins en langere rapporten informeert het iedereen in de EU (en daarbuiten). De
publicaties zijn altijd gratis en vrij van commercie. Dat onderscheidt ze van al die rapportages van security vendoren. Die kunnen om begrijpelijke redenen niet altijd aan de verleiding weerstaan er een WC eend verhaal van te maken.
Het meest recente werk van ENISA gaat over het verschijnsel supply chain attacks. Die term is sinds het hacken van SolarWinds eind 2020 volop in de belangstelling. Zelfs de reguliere dagbladen zijn die term gaan gebruiken.
Type aanval niet nieuw
Daarbij is dit type aanval helemaal
niet nieuw. ENISA heeft een overzicht van de aanvallen die vanaf januari 2020 zijn bekend gemaakt. Het verwijst verder naar aanvallen die voor die tijd al plaatsvonden.
Handige uitleg
De lijst aanvallen is lang en de doelwitten lijken flink te verschillen. Toch zijn er elke keer weer patronen die voorkomen. Dat maakt dit soort aanvallen goed te herkennen. Met graphics, zoals afgebeeld, laat ENISA het traject van aanvallen zien. Die illustraties zijn vooral handig om met niet-technici of klanten te bespreken. Het helpt echt de bedreiging helder te maken en vooral ook de demystificeren. Over supply chain attacks doen namelijk de meest uiteenlopende verhalen de ronde. Vooral als het gaat om het uiteindelijke doel heerst veel onduidelijkheid.
ENISA heeft op basis van de 2020 aanvallen vastgesteld dat in 58 procent van de gevallen diefstal van data (klanten, bedrijfsgeheimen, contracten) het doel was. In 16 procent ging het om gegevens van “belangrijke” personen (politiek, wetenschap, pers en dergelijke). Bij slechts 8 procent van de gevallen waren de cybercriminelen uit op bankrekening, creditcard gegevens van de slachtoffers.
Advies
Aan het eind van deze rapportage geeft ENISA nog groot aantal adviezen om de risico’s te verkleinen. Die zijn onderverdeeld naar risico’s voor afnemers, leveranciers en ontwikkelaars van software. Vooral die eerste categorie is erg handig en kan goed gecombineerd worden met de uitleg via graphics van supply chain attacks.
