De beveiliging van je leveranciers is een direct bedrijfsrisico voor je eigen bedrijf. Twee datalekken bij AI-leverancier Anthropic in één week laten zien hoe kwetsbaar je wordt door afhankelijkheid van externe code en diensten. Dit vraagt om een proactieve aanpak van leveranciersbeveiliging.

Wat er aan de hand is

AI-specialist Anthropic heeft in korte tijd twee datablunders gemaakt. Eerst zette het bedrijf per ongeluk de volledige broncode van zijn programmeertool Claude Code online, bestaande uit ongeveer 1.900 bestanden en ruim 512.000 regels code, aldus De Volkskrant. De code werd publiek downloadbaar en kopieën verschenen snel op GitHub. Het bedrijf noemt het een menselijke fout. Eerder diezelfde week werd ook interne documentatie over een nieuw AI-model, Mythos, openbaar door een verkeerd geconfigureerde databank. Dit geeft concurrenten inzicht in de werking en vertrouwelijke ontwerpkeuzes. Deze incidenten volgen op andere waarschuwingen, zoals die van het Nationaal Cyber Security Centrum (NCSC) voor besmette npm- en Python-packages, en tonen een breder patroon van risico’s in de software- en AI-leveranciersketen.

Wat dit betekent

Dit betekent dat de digitale veiligheid van je bedrijf niet ophoudt bij je eigen firewall. De beveiligingsfouten van je leveranciers worden jouw risico’s. Als je software, AI-tools of clouddiensten gebruikt, ben je afhankelijk van hun security-praktijken. Een lek bij een leverancier kan leiden tot het uitlekken van jouw bedrijfsgegevens als die via hun systemen lopen, of tot verstoring van je dienstverlening. Voor ondernemers in het MKB is dit een groeiend probleem, omdat zij vaak minder resources hebben om leveranciers grondig te screenen of om snel over te stappen bij een incident. Het maakt leveranciersmanagement niet langer alleen een inkoopkwestie, maar een essentieel onderdeel van je cybersecurity-strategie.

Hoe je dit kunt toepassen

De praktische toepassing hangt af van jouw situatie. Het gaat erom dat je de risico’s van je leveranciers in kaart brengt en beheert.

Als je SaaS-diensten of cloudsoftware gebruikt… vraag dan bij je leveranciers naar hun securitybeleid en of ze onafhankelijk gecertificeerd zijn (zoals ISO 27001). Stel niet alleen vragen over hun eigen beveiliging, maar ook over hoe zij hun toeleveranciers controleren. Overweeg om afspraken over datalekken en aansprakelijkheid expliciet in je service level agreement (SLA) of contract op te nemen.

Als je externe ontwikkelaars inhuurt of open source code gebruikt… wees dan extra alert op de waarschuwingen van instanties zoals het NCSC. Zorg voor een proces om de software-afhankelijkheden (libraries, packages) die je gebruikt regelmatig te controleren op bekende kwetsbaarheden. Dit kun je deels automatiseren met tools die scannen op kwetsbaarheden.

Als je AI-tools van derden inzet voor je bedrijfsprocessen… onderzoek dan of de leverancier transparant is over hoe ze met data omgaan. Waar wordt jouw input en output opgeslagen? Is de data geëncrypteerd? Een datalek zoals bij Anthropic, waarbij broncode of interne documentatie uitlekt, kan indirect ook jouw bedreigen als het de stabiliteit of betrouwbaarheid van de tool aantast.

Als je printers of andere ‘slimme’ hardware aanschaft… let dan, zoals bij de nieuwe HP LaserJet-lijn, niet alleen op snelheid en kosten, maar ook op de ingebouwde beveiligingsfuncties. Vraag de leverancier naar de updatecyclus voor beveiligingspatches en hoe lang het apparaat beveiligingsondersteuning krijgt. Een verouderd, onbeveiligd apparaat op je netwerk is een risico.

De kern is om bewustzijn te creëren: de beveiliging van je leverancier is een verlengstuk van je eigen beveiliging. Begin met het in kaart brengen van welke leveranciers kritieke data verwerken of essentiële diensten leveren, en stel voor hen een basislijst met security-vragen op.

Bron: Computable