Beveiliging en EDI, de Trojaanse paarden van cyberaanvallers

Gepubliceerd op 24 augustus 2021

cybersecurity_en_edi
generix_group
Geschreven
door
Generix Group
Categorieën
eInvoicing

Hoewel niemand immuun is voor een cyberaanval, verhoogt de toename van EDI-stromen de kwetsbaarheid van een bedrijf. EDI-stromen met minder beschermde onderaannemers kunnen immers geprivilegieerde toegangspunten zijn voor aanvallers. De keuze van een betrouwbare en gecertificeerde EDI provider wordt steeds noodzakelijker.

Kmo’s, de zwakste schakel in cyberbeveiliging.

Als het op cyberbeveiliging aankomt, zin het de kleine bedrijven die de zwakste schakel vormen en die aanvallers als eerste proberen neer te halen om grotere doelwitten te bereiken. Geconfronteerd met dit verschijnsel doen sommige bedrijven een beroep op ratingbureaus om het veiligheidsniveau van hun leveranciers in te schatten en hen bij aanbestedingen eventueel te selecteren op basis van hun score. Deze aanpak is zeer duur en is daarom voorbehouden aan enkele grote internationale bedrijven.

Uit een onderzoek1 van cyberbeveligingsbedrijf BlueVoyant blijkt dat van de 1.500 ondervraagde bedrijven 77% van de CISO’s (Chief Information Security Officer) en CIO’s (Chief Information Officer) melding maakt van een volledig gebrek aan inzicht in de beveiliging van hun leveranciers. Tegelijkertijd heeft 82% in de afgelopen 12 maanden te maken gehad met minstens één datalek. Dit gebrek aan controle over de beveiliging van derden is te verklaren door het feit dat de cybermiddelen van bedrijven duidelijk gericht zijn op de beveiliging van hun eigen informatiesystemen. Sommige bedrijven sturen een veiligheidsvragenlijst naar hun partners om hun praktijken te beoordelen, maar het aantal leveranciers in een bedrijf, gemiddeld zo’n 1.000 partners, beperkt de mogelijkheden van het bedrijf om hen te controleren. Cyberdreigingen en beschermingssystemen evolueren voortdurend en zelfs de systemen die het meest volwassen lijken, zoals EDI (Electronic Data Interchange), zijn niet altijd het veiligst.

EDI, een veilige technologie, maar niet beschermd tegen aanvallers

EDI-stromen zijn van nature veilig: het protocol waarborgt de integriteit en traceerbaarheid van de uitwisselingen. De gegevens zelf worden gecodeerd, wat de vertrouwelijkheid en integriteit ervan garandeert. Het scenario van een ontregeling van de activiteit ten gevolge van de verzending van vervalste gegevens moeten worden uitgesloten, maar EDI-stromen kunnen door hackers worden misbruikt om in het informatiesysteem van een bedrijf of zijn EDI-leverancier te infiltreren, of om gegevens onrechtstreeks om te leiden.

Sinds de jaren 2010 hebben EDI-netwerkstromen die aanvankelijk door het gespecialiseerde X25-netwerk werden vervoerd, plaatsgemaakt voor IP- en internetverbindingen. Ook het gebruik van EDI is toegenomen, met name in kmo’s, dankzij de ontwikkeling van WebEDI oplossingen, die voor iedereen toegankelijk zijn. Elk bedrijf kan dus EDI-gegevens meedelen via een eenvoudige webbrowser en deze digitalisering verhoogt het risico op computerhacking aanzienlijk.

Het ecosysteem, een concept dat maar al te vaak wordt onderschat door bedrijven

In het geval van een leverancier die wordt gevraagd adreslijsten voor leveringen op te vragen, bevraagt zijn computer de computer van zijn klant via een stroom die de platformen via toegangsrechten met elkaar verbindt. Door de leverancier aan te vallen, opent de cyberaanvaller vervolgens een inbreuk naar het bedrijf van de klant.

Hoewel het terecht is dat de leverancier zijn klanten beschermt, is het ook aan de klant om het vertrouwen dat het in de leverancier stelt te kwalificeren. Vanuit elk oogpunt, omdat inbraakpogingen veelvormig zijn: als identiteitsdiefstal het meest voorkomende geval is, moeten bedrijven in het algemeen de stroom van gevoelige gegevens die binnen hun ecosysteem worden doorgegeven beperken.

 

Ondersteuning van alle EDI formaten en protocollen op de markt is het eerste criterium voor het kiezen van een EDI-oplossing. Het platform moet EANCOM, EDIFACT, XML, UBL, HL7, JSON, PDF of X12 ondersteunen, maar ook interfaces bieden met ERP- en bedrijfssoftwarepakketten zoals SAP, Microsoft, Oracle of Sage. Tenslotte moet de EDI provider uiteraard interoperabiliteit hebben met alle landen waarmee het bedrijf zal moeten uitwisselen. Maar vandaag is het ook nodig om een EDI leverancier te kiezen op basis van zijn maturiteit en zijn investeringen in cyberbeveiliging.

De rol van de EDI provider is geëvolueerd; hij is een hoofdrolspeler geworden in de bescherming van bedrijven tegen deze aanvallen en het bedrijf zelf moet zich ervan verzekeren dat de beveiligingen van zijn EDI provider degelijk zijn voordat het de verbinding maakt met zijn dienst.

Certificeringen en normen zijn een manier om de ernst van de processen te garanderen. ISO 27001 certificering is dus een essentieel criterium bij de selectie van een EDI-dienstverlener. Het is aan de provider om ervoor te zorgen dat de gegevensstroom niet onderhevig is aan een “Man in the Middle” aanval, en het is ook de provider die de gegevens opslaat die tussen de EDI partners worden uitgewisseld. Deze opslag moet daarom noodzakelijkerwijs worden geëncrypteerd om ervoor te zorgen dat, zelfs indien een aanvaller erin slaagt door de aangebrachte afschermingen heen te dringen, hij de gegevens die aan zijn aanval zijn blootgesteld niet kan exploiteren. Asymmetrische encryptie is de meest veilige oplossing om gegevens te beschermen, maar sommige spelers wenden zich nu zelfs tot Blockchain technologie om het beveiligingsniveau van hun EDI verder te verhogen.

Ontdek hier alle functies van onze EDI oplossing in SaaS.


1Studie “Third-Party Supply Chain Cyber Risk - CISO Report”, BlueVoyant, november 2020