Het National Institute of Standards and Technology (NIST) heeft donderdag een bijgewerkte cyberbeveiligingsrichtlijn vrijgegeven voor het beheren van risico’s in de toeleveringsketen, aangezien het steeds meer naar voren komt als een lucratieve aanvalsvector.
“Het moedigt organisaties aan om niet alleen rekening te houden met de kwetsbaarheden van een afgewerkt product dat ze overwegen te gebruiken, maar ook van de componenten ervan – die mogelijk elders zijn ontwikkeld – en de reis die die componenten hebben afgelegd om hun bestemming te bereiken”, zei NIST in een verklaring.
De nieuwe richtlijn contouren belangrijke beveiligingscontroles en -praktijken die entiteiten moeten toepassen om risico’s in verschillende stadia van de toeleveringsketen te identificeren, te beoordelen en erop te reageren, waaronder de mogelijkheid van kwaadaardige functionaliteit, fouten in software van derden, het inbrengen van namaakhardware en slechte productie- en ontwikkelingspraktijken.
De ontwikkeling volgt op een Executive Order uitgevaardigd door de Amerikaanse president op “Verbetering van de cyberbeveiliging van de natie (14028)” afgelopen mei, waarbij overheidsinstanties werden verplicht om stappen maken om “de veiligheid en integriteit van de softwaretoeleveringsketen te verbeteren, met prioriteit bij het aanpakken van kritieke software.”
Het komt ook omdat cyberbeveiligingsrisico’s in de toeleveringsketen de afgelopen jaren op de voorgrond zijn gekomen, deels verergerd door een golf van aanvallen gericht op veelgebruikte software om tientallen downstream-leveranciers in één keer te hacken.
Volgens het Agentschap van de Europese Unie voor cyberbeveiliging (ENISA) Dreigingslandschap voor supply chain-aanvallenbleek 62% van de 24 aanvallen die zijn gedocumenteerd van januari 2020 tot begin 2021 “het vertrouwen van klanten in hun leverancier te misbruiken”.
“Het beheren van de cyberbeveiliging van de toeleveringsketen is een noodzaak die blijft bestaan”, zegt Jon Boyens van NIST en een van de auteurs van de publicatie. “Als uw bureau of organisatie er nog niet mee begonnen is, is dit een uitgebreide tool die u van kruipen naar lopen naar rennen kan brengen, en het kan u helpen dit onmiddellijk te doen.”
