Security
Strengthening the weakest link

De zwakste schakel versterken

Je bent zo veilig als de zwakste schakel in je beveiliging. Voor veel bedrijven is hun toeleveringsketen het grootste risico. Op elk punt van die keten heb je oplossingen met ingebouwde beveiliging nodig, zodat je er zeker van kunt zijn dat je toeleveringsketen van begin tot eind beveiligd is en regelgeving naleeft. Stuart Constable zoekt naar de zwakste schakel.

 

Met een klein beetje vertrouwen kom je een heel eind in een veilige toeleveringsketen.

Je kunt alle benodigde contracten hebben gesloten en elk vakje hebben afgevinkt, maar een toeleveringsketen werkt alleen goed als deze ook op menselijk vertrouwen is gebaseerd. En hoe complexer de keten wordt, hoe meer vertrouwen je moet hebben.

Een leverancier aan het ene einde kent waarschijnlijk nooit alle leveranciers die zijn betrokken bij het ontwerpen, ontwikkelen, produceren, assembleren, verzenden, leveren en onderhouden van een product of oplossing. Elke afzonderlijke relatie tussen contractpartijen berust op vertrouwen en de vooronderstelling (of in sommige gevallen het bewijs) dat alle andere relaties even betrouwbaar zijn.

De technologie voor toeleveringsketens vormt een extra uitdaging, omdat deze overal en met relatief gemak kan worden aangevallen. De fysieke onderdelen, magazijnen, fabrieken, en voertuigen functioneren onafhankelijk van elkaar. Als een opslagplaats wordt beroofd of vernield, levert dat weliswaar problemen op, maar kunnen de andere onderdelen gewoon verder. Als de infrastructuur en toepassingen die de afzonderlijke leveranciers in de keten met elkaar verbinden, echter gevaar lopen, kan dit van invloed zijn op de hele toeleveringsketen. En dat alles zonder dat de aanvaller een voet buiten de deur hoeft te zetten.

Wanneer een toeleveringsketen zich ook nog eens toelegt op het leveren van veilige technologie, worden de uitdagingen nóg ingewikkelder. Als je medewerkers beschikken over alle apparaten die ze nodig hebben om overal te kunnen te werken, moet je erop kunnen vertrouwen dat elk apparaat is gebouwd volgens jouw nauwgezette specificaties en beveiligingsnormen.

Elk eindpunt zet potentieel de deur op een kier voor malware en gerichte aanvallen. Het probleem is dat er een bloeiende zwarte markt is voor kostbare componenten en dat die op elk punt in de toeleveringsketen kunnen worden omgeruild voor neppers van lage kwaliteit. Het apparaat kan in de fabriek volgens de juiste normen zijn gemaakt, maar als cruciale onderdelen zijn vervangen wanneer het bij jou arriveert, komen de integriteit en veiligheid ernstig in gevaar. En dat merk je pas als het te laat is.

Precies daarom is bij Lenovo een transparante toeleveringsketen een fundamenteel onderdeel van de relatie met onze klanten. Wij integreren beveiliging in elk onderdeel van onze producten, en maken de herkomst van elk onderdeel en van het hele systeem volledig traceerbaar. Elke leverancier van intelligente componenten wordt nagetrokken alvorens een stempel van goedkeuring te krijgen. Al onze producten worden geleverd in een veilige verpakking, zodat het duidelijk zichtbaar is als er in de toevoerlijn mee is geknoeid.

Het kenmerk van cybercriminaliteit is dat het doelbewust met een duizelingwekkende snelheid verandert. De volgende grote ransomware-aanval kan slechts één klik verwijderd zijn, terwijl DDoS-aanvallen de kwetsbaarheden van IoT al beginnen te misbruiken, mogelijk zelfs op grote schaal. Tegelijkertijd blijft apparaatbeveiliging cruciaal omdat mensen steeds vaker een combinatie van eigen apparaten en apparaten van het bedrijf gebruiken.

Net als de transparante toeleveringsketen is ook het productbeveiligingssysteem van Lenovo zo opgezet dat de veiligheid wordt gewaarborgd gedurende de hele levenscyclus van het product, van ontwikkeling en productie tot aan de klantenservice. We streven ernaar beveiliging te verankeren in de kern van onze producten [LINK TO MOBILE CYBER THREAT BLOG] en deze niet slechts als laag eromheen te bouwen.

Toezicht op productveiligheid is een essentieel onderdeel van dit proces. Het zorgt ervoor dat bij de ontwikkeling van producten goede en veilige procedures worden gevolgd, wat met name belangrijk is bij het maken en distribueren van firmware en BIOS.

Gedurende het volledige ontwikkelings- en testproces geeft het programma voor ethisch hacken van Lenovo inzicht in de problemen die klanten zouden kunnen ondervinden, zodat we deze kunnen oplossen voordat de producten de deur uitgaan. We investeren ook in doorlopende trainingsprogramma’s om ervoor te zorgen dat belangrijke medewerkers op de hoogte zijn van kritieke beveiligingsproblemen.

Misdaad en vandalisme worden enkel begrensd door de menselijke verbeeldingskracht. Daarom moet beveiliging ook worden benaderd met die verbeeldingskracht, te beginnen met de meest menselijke van alle eigenschappen: vertrouwen en kwetsbaarheid. Elke schakel in de beveiligingsketen, of het nu een leverancier, een software-update of een slordige gebruiker is, moet als een potentiële kwetsbaarheid worden gezien.

Deze holistische benadering is een van de basisprincipes waarop de strategie voor onze productie- en toeleveringsketen is gebaseerd. Dat betekent dat het vertrouwen dat we als leverancier krijgen, wordt onderbouwd door aantoonbare en robuuste werkwijzen die het risico voor onze klanten tot het minimum beperken, van de tekentafel tot in de trein.