Strengere eisen aan e-mailbeveiliging voor leveranciers onder NIS2
Nu de Cyberbeveiligingswet (NIS2) hogere eisen stelt aan digitale weerbaarheid, blijft één kwetsbaarheid vaak onderbelicht: de beveiliging van e-mail bij leveranciers. Grote organisaties investeren fors in cybersecurity. Maar wanneer kleinere ketenpartners hun basismaatregelen niet op orde hebben, ontstaat alsnog een risico.
Medewerkers vertrouwen e-mails van bekende leveranciers sneller. En juist dat vertrouwen wordt misbruikt. Opvallend is dat de grootste dreiging vaak niet zit in geavanceerde hacks, maar in ontbrekende basisbeveiliging.
Kwetsbaarheden in e-mailbeveiliging
Veelvoorkomende risico’s in de beveiliging van e-mail bij leveranciers zijn zwakke wachtwoorden. Een ander risico is het hergebruik van wachtwoorden. Deze wachtwoorden kunnen eenvoudig door kwaadwillenden worden achterhaald. Ook het ontbreken van verplichte multi-factor-authenticatie (MFA) vormt een probleem. Zonder MFA ontbreekt een belangrijke beveiligingslaag. Daarnaast wordt moderne beveiliging vaak omzeild door het gebruik van verouderde loginprotocollen, wat kwetsbaarheden creëert. Onjuist ingestelde SPF-, DKIM- en DMARC-records vergroten het risico op e-mailspoofing, waardoor medewerkers sneller misleid kunnen worden door vervalste e-mails. Tot slot zorgt een gebrek aan monitoring op verdachte inlogpogingen ervoor dat aanvallen niet tijdig worden opgemerkt. Hierdoor krijgen kwaadwillenden ongehinderd toegang tot systemen. Met minimale inspanning kan een aanvaller dan een mailbox overnemen of e-mails versturen die ogenschijnlijk van een betrouwbare leverancier komen.
Twee bekende vormen van e-mailmisbruik
Er zijn twee vormen van misbruik die significant risico vormen voor organisaties: Account Takeover en Spoofing. Bij Account Takeover krijgt een aanvaller directe toegang tot een e-mailaccount. De aanvaller kan vanuit het echte account communiceren, waardoor de authenticiteit van de berichten wordt versterkt en het vertrouwen van de ontvangers wordt misbruikt. Spoofing houdt in dat een aanvaller e-mails verstuurt die lijken afkomstig te zijn van het domein van de organisatie. De aanvaller heeft hierbij geen daadwerkelijke toegang tot de mailbox.
Waarom dit NIS2 raakt
Onder NIS2 zijn organisaties verantwoordelijk voor de digitale weerbaarheid van hun keten. Dat betekent dat ook leveranciers aantoonbaar basismaatregelen moeten hebben getroffen. Een slecht beveiligde mailbox kan immers de ingang vormen voor een bredere aanval. Steeds vaker worden daarom cybersecurity-eisen opgenomen in contracten en inkoopvoorwaarden. Voor leveranciers wordt aantoonbare cyberhygiëne steeds belangrijker. Certificering kan helpen om vertrouwen te onderbouwen en zakelijke continuïteit te waarborgen.
Dit artikel is tot stand gekomen in samenwerking met Samen Digitaal Veilig.
Zelf cybermaatregelen treffen of fraude melden?
Ongeveer 1 op de 5 ondernemers krijgt te maken met cybercriminaliteit. Zo’n cyberincident kan grote gevolgen hebben voor de bedrijfsvoering, klanten, leveranciers of reputatie. Het treffen van passende maatregelen is daarom van belang voor elke onderneming.
- Heb jij een MKB-bedrijf en wil je je cyberrisico's verlagen? Bekijk dan Cyber Fundament, speciaal voor MKB-ondernemers.
- Leer meer over de 4-in-1-cyberoplossing Cyber Veilig & Zeker speciaal voor grootzakelijk en verlaag jouw cyberrisico's.
- Wil je ook veilig ondernemen? Bekijk slimme tools, handige artikelen en cyberwebinars.
- Meld fraude bij ons, ook bij twijfel, waarna onze helpdesk je direct verder helpt.
