Bijna de helft (45%) van de organisaties wereldwijd werd in de afgelopen twaalf maanden het slachtoffer van een software supply chain attack. Dit komt naar voren uit
onderzoek onder 2.200 IT-beslissers en cybersecurity-professionals wereldwijd, uitgevoerd in opdracht van
CrowdStrike, leider in cloud security. Van de Nederlandse respondenten gaf meer dan de helft (51%) aan in de afgelopen twaalf maanden het slachtoffer te zijn geworden van een software supply chain attack. Ruim een derde van hen (39%) werd zelfs meerdere malen getroffen. Slechts vier op de tien (41%) getroffen organisaties had een alomvattende strategie voor de aanval klaarliggen.
Nog flinke stappen in beveiliging te maken
Op dit moment heeft slechts 58 procent van de IT-beslissers en cybersecurity-professionals in Nederland volledig vertrouwen in de IT-beveiliging van de supply chain van de eigen organisatie. Wereldwijd ligt dit percentage op 55 procent. Het onderzoek laat zien dat het er nog flinke stappen te zetten zijn. Zo geven zeven op de tien organisaties (71% in Nederland versus 72% wereldwijd) aan externe leveranciers nog niet aan dezelfde beveiligingsnormen te toetsen als zichzelf. Ruim twee derde (68%) van de Nederlandse organisaties heeft de ambitie om in de komende twaalf maanden weerbaarder te worden tegen supply chain-aanvallen. Dit is minder dan het wereldgemiddelde van 78 procent.
Ronald Pool, cybersecurity specialist bij CrowdStrike: “Hoewel ransomware-aanvallen nog de kroon spannen in cybersecurity, verbaast het me niet als cybercriminelen op korte termijn aparte takken gaan oprichten die zich volledig focussen op supply chain-aanvallen. Met het massale geld dat ze met ransomware-aanvallen verdienen, kunnen ze het zich veroorloven om vol in te zetten op supply chain-aanvallen. Wanneer deze succesvol zijn, is de payout veel groter dan bij een gemiddelde ransomware-aanval. Hoewel de kans op een supply chain-aanval voor organisaties momenteel een stuk kleiner is dan de kans op ransomware, is de impact van supply chain-aanvallen wel vele malen groter. Hierbij zijn immers direct heel veel vertrouwde systemen opeens kwetsbaar. Hoewel ik groeiend bewustzijn omtrent deze aanvallen zie, zijn er veel bedrijven die geen of verouderde beveiligingseisen stellen aan leveranciers. Ik adviseer daarom om deze goed onder de loep te nemen en regelmatig bij te stellen, zodat ze voldoen aan actuele beveiligingseisen.”
Vertrouwen in leveranciers
Slechts vier op de tien (41%) Nederlandse IT-beslissers en cybersecurity-professionals heeft volledig vertrouwen in de beveiliging van de supply chain van leveranciers. Bij een succesvolle cyberaanval is slechts 45 procent er absoluut zeker van dat een leverancier of partner de organisatie zou informeren. Drie op de vijf (62%) hebben in de afgelopen twaalf maanden het vertrouwen in een van de leveranciers verloren.
Noot voor de redactie, niet ter publicatie
Over het onderzoek
Dit onderzoek is uitgevoerd door onafhankelijk onderzoeksbureau Vanson Bourne in opdracht van CrowdStrike. In totaal zijn 2.200 senior IT-besluitvormers en IT-beveiligingsprofessionals in de Verenigde Staten, het Verenigd Koninkrijk, Frankrijk, Duitsland, Spanje, Italië, Nederland, het Midden-Oosten, India, Japan, Singapore en Australië in grote industriële sectoren ondervraagd. Het aantal Nederlandse respondenten bedraagt 100. Het onderzoek geeft een gedetailleerd overzicht van de attitudes en overtuigingen van degenen die verantwoordelijk zijn voor cybersecurity en volgt hoe zij omgaan met geavanceerde en alomtegenwoordige cyberaanvallen.