Hoe leveranciers je grootste cyberrisico vormen
In steeds complexere samenwerkingsverbanden vormen leveranciers en onderaannemers een digitale achilleshiel: kwetsbaar, schijnveilig en vaak onbewust genegeerd. Waarom de voordeur forceren als je via een onbekende achterdeur naar binnen kunt? Supply chain management, ofwel ketenveiligheid, is niet optioneel, maar essentieel.
Auteur: Renee van der Post
De keten: groter en onzichtbaarder dan je denkt
Waar bedrijven vroeger vooral werkten met een handvol lokale partners, zijn moderne leveranciersketens internationaal en complex. Een softwareleverancier gebruikt mogelijk hostingdiensten uit een ander land, die op hun beurt hardware afnemen uit andere regio’s.
In onze geglobaliseerde economie zijn leveranciersketens vaak zo vertakt dat niemand nog volledig weet wie er allemaal betrokken zijn. Er ontstaat een netwerk van afhankelijkheden dat zich over meerdere landen, tijdzones en jurisdicties uitstrekt. Dit maakt niet alleen de zichtbaarheid lastig, maar ook de beveiliging complex.
Terwijl cybercriminelen deze netwerken slim uitbuiten, vertrouwen organisaties vaak blind op hun partners, zonder structureel te controleren of de beveiliging daar net zo serieus genomen wordt als bij henzelf.
Stel: je bent een middelgrote e-commerce speler. Jouw marketingteam gebruikt een populaire e-mailtool voor campagnes. Die tool is gebouwd door een Amerikaans softwarebedrijf dat op haar beurt hosting uitbesteedt aan een Aziatische cloudprovider. Wanneer die cloudprovider slachtoffer wordt van een datalek, kunnen hackers toegang krijgen tot de volledige klantenlijsten van jouw bedrijf.
Vertrouwenscrisis
Wat begint als een incident aan de andere kant van de wereld, eindigt in Nederland als een vertrouwenscrisis richting jouw klanten, nog voordat je überhaupt wist dat er iets mis was. Je eigen cybersecurity was misschien op orde, maar de aanval vond plaats ergens diep in je digitale keten.
Zelfs als je alles goed doet
We hoeven niet ver terug in de tijd om te zien hoe supply chain-aanvallen organisaties onderuit kunnen halen. In 2020 werd SolarWinds getroffen door een grootschalige aanval waarbij aanvallers toegang kregen tot de netwerken van duizenden bedrijven en overheidsinstanties wereldwijd. De aanval bleef maandenlang onopgemerkt en leidde tot ernstige datalekken bij onder meer Amerikaanse ministeries en grote technologiebedrijven. Ook de MOVEit-hack in 2023 had verstrekkende gevolgen: duizenden organisaties werden slachtoffer van een datalek, zonder dat ze zelf iets fout hadden gedaan. Begin 2025 werd een grote retailer tijdelijk lamgelegd toen hun logistieke softwareleverancier werd geraakt, winkels konden geen betalingen meer verwerken en klanten stonden letterlijk voor gesloten deuren.
Deze incidenten hebben één ding gemeen: de aanval begon niet bij het getroffen bedrijf zelf, maar bij een partner in de keten.
Ketenweerbaarheid begint bij inzicht
Echte digitale weerbaarheid begint niet enkel bij nóg meer technologische maatregelen binnen je eigen bedrijf, maar bij inzicht in je volledige keten. Welke partijen hebben toegang tot jouw data? Met wie werken zij samen? En welke afspraken zijn er gemaakt over beveiliging en incidenten?
Stel concrete eisen aan jouw leveranciers. Denk aan het hanteren van een minimale beveiligingsstandaard (zoals de ISO 27001), het opvragen van recente auditresultaten of het implementeren van een gezamenlijke incidentmeldingsprocedure. Organiseer regelmatig gesprekken of ketensessies om risico’s bespreekbaar te maken, niet om met de vinger te wijzen, maar om samen sterker te worden. Bovendien stelt de NIS2-richtlijn expliciete eisen aan de beheersing van ketenrisico’s, dus dit is niet alleen verstandig, maar in veel gevallen ook een wettelijke verplichting.
Zo sterk als je zwakste schakel
Cybersecurity stopt niet bij je voordeur en ook niet bij jouw leveranciers. Ketenbeveiliging is daarom geen luxe meer, maar noodzaak. Niet om elk risico volledig uit te sluiten – dat kan niet – maar om te zorgen dat je niet onwetend een tikkende tijdbom binnen je organisatie haalt. Bij Defenced helpen we organisaties hun keten inzichtelijk en weerbaar te maken. Van snelle assessments tot structurele monitoring: samen zorgen we ervoor dat je geen blinde vlek meer hebt. Benieuwd hoe jouw keten ervoor staat?
Neem contact met ons op
Bronnen:
¹ Cybercrime Trends Survey (2024)
² Wired – MOVEit Data Breach (2023)
³ Nu.nl – SolarWinds hack (2020)
⁴ The Guardian – Marks & Spencer cyberaanval (2025)