Een supply chain-aanval vindt plaats wanneer criminelen een vertrouwde derde partij in gevaar brengen om het echte doelwit te bereiken. Die derde partij kan een softwareleverancier, IT-provider, SaaS-platform of zakelijke partner met toegang tot systemen of gegevens zijn.

Voor kleine en middelgrote bedrijven is dit risico gemakkelijk te onderschatten. U beheert misschien geen complexe infrastructuur of heeft geen groot IT-team, maar uw bedrijf is waarschijnlijk afhankelijk van veel externe diensten: zakelijke e-mail, loonadministratie, boekhouding, cloudopslag, klantenondersteuning, CRM en betalingssystemen. Elke verbonden leverancier creëert een potentieel pad naar uw omgeving.

We leggen uit wat een supply chain-aanval is, hoe deze aanvallen plaatsvinden, waarom het mkb kwetsbaar is en hoe u het supply chain-risico van derden kunt beoordelen en beperken.

Wat is een supply chain-aanval?

Hoe supply chain-aanvallen plaatsvinden

Waarom het mkb waardevoller is

Praktijkvoorbeelden van supply chain-aanvallen

Hoe u uw risico van derden beoordeelt

Wat uw bedrijf kan doen om de blootstelling te verminderen

De verbinding met inloggegevens bij supply chain-aanvallen

Integreer de beveiliging van derden in de dagelijkse activiteiten

Wat is een supply chain attack?

Een supply chain-aanval is een cyberaanval die een organisatie bereikt via een vertrouwde externe relatie. In plaats van uw bedrijf rechtstreeks aan te vallen, brengen criminelen een leverancier, software-update, serviceprovider, integratie of account van derden in gevaar en gebruiken ze die toegang om uw downstream-klanten te bereiken.

Een zwakke plek buiten uw organisatie kan nog steeds gevolgen hebben voor uw systemen, gegevens of activiteiten als de leverancier ermee verbonden is. In de praktijk kan een supply chain-cyberaanval het volgende inhouden:

  • Een softwareleverancier met een in gevaar gebracht updatemechanisme.
  • Een SaaS-platform waarmee aanvallers toegang krijgen tot klantgegevens.
  • Een IT-provider wiens beheerdersinloggegevens zijn gestolen.
  • Een account van een contractant dat nog steeds toegang heeft nadat een project is beëindigd.
  • Een integratie van derden met meer machtigingen dan nodig is.
  • Een account van een medewerker van de leverancier dat wordt gebruikt om toegang te krijgen tot systemen van klanten.

Supply chain-aanvallen vertrouwen op en maken misbruik van vertrouwen. Uw bedrijf staat de verbinding toe omdat de leverancier een legitieme rol had, en vervolgens misbruiken aanvallers dat vertrouwen om dichter bij uw gegevens, accounts of systemen te komen.

Hoe supply chain-aanvallen plaatsvinden

Supply chain-aanvallen beginnen meestal met een vertrouwde verbinding. Een aanvaller hoeft niet rechtstreeks bij uw bedrijf in te breken als een leverancier, softwareprovider, contractant of integratie al toegang heeft tot iets waardevols.

Het pad kan variëren, maar het patroon is vaak vergelijkbaar:

  • De derde partij in gevaar brengen
  • Die vertrouwde relatie gebruiken om klanten of verbonden systemen te bereiken
  • De toegang tot uw bedrijfsnetwerk uitbreiden

Via in gevaar gebrachte leveranciersaccounts

Aanvallers kunnen inloggegevens stelen of raden van een leverancier, contractant, agentschap of beheerde serviceprovider. Als die derde partij toegang heeft tot uw systemen, kan de aanvaller een legitiem account gebruiken om via een vertrouwde route binnen te komen.

Dit is vooral riskant wanneer leveranciersaccounts brede machtigingen, zwakke wachtwoorden, geen multifactorverificatie of toegang hebben die nooit is verwijderd nadat een project is beëindigd. Daarom moet de toegang van derden regelmatig worden gecontroleerd en onmiddellijk worden ingetrokken via een gecontroleerd beheerdersproces wanneer deze niet langer nodig is.

Via software-updates en toepassingen

Een software supply chain-aanval kan plaatsvinden wanneer aanvallers de manier waarop een toepassing wordt gebouwd, gedistribueerd of bijgewerkt, in gevaar brengen. Uw bedrijf kan dan software van een vertrouwde leverancier installeren of bijwerken, zonder te beseffen dat de update onrechtmatig is bewerkt.

Dit type aanval is moeilijk te ontdekken omdat de activiteit afkomstig lijkt te zijn van een bekende softwareleverancier, en niet van een onbekende bron.

Via integraties van derden

Veel Software as a Service (SaaS)-tools maken verbinding met elkaar via integraties, invoegtoepassingen, API’s en machtigingen. Deze verbindingen helpen teams sneller te werken, maar ze kunnen ook verborgen toegangspaden creëren.

Als een integratie in gevaar wordt gebracht of meer machtigingen heeft dan nodig is, kunnen aanvallers mogelijk gegevens, accounts of workflows bereiken die verder gaan dan de oorspronkelijke tool.

Via gedeelde inloggegevens en onbeheerde toegang

Het supply chain-risico groeit ook wanneer de toegang van leveranciers afhankelijk is van gedeelde logins, wachtwoorden die in documenten zijn opgeslagen of inloggegevens die via chat en e-mail zijn verzonden. Als een van die inloggegevens openbaar wordt gemaakt, weet uw bedrijf mogelijk niet wie deze heeft gebruikt, waar deze is gedeeld of tot hoeveel systemen deze nog toegang heeft.

Toegangscontrole is uw sterkste mechanisme om de beveiliging van uw supply chain te beschermen. Hoe gecontroleerder elke verbinding met een leverancier is, hoe gemakkelijker het wordt om de schade te beperken als er iets misgaat.

Waarom het mkb kwetsbaarder is

Het mkb gaat er vaak van uit dat supply chain-aanvallen een probleem zijn voor grote ondernemingen. In werkelijkheid kunnen kleinere bedrijven gemakkelijker worden bereikt via derden, omdat de toegang voor leveranciers vaak minder formeel is, minder wordt gemonitord en minder vaak wordt gecontroleerd.

Elke SaaS-dienst voegt een afhankelijkheid toe

De meeste kleine bedrijven zijn tegenwoordig voor hun dagelijkse werkzaamheden afhankelijk van SaaS-diensten. Ze kunnen bedrijven helpen om snel en flexibel te handelen, maar ze vergroten ook het aantal systemen dat bedrijfsgegevens kan bevatten of verbinding kan maken met bedrijfsaccounts.

Een klein bureau, adviesbureau, advocatenkantoor of startup gebruikt misschien tientallen externe diensten zonder dit een supply chain te noemen. Maar vanuit een beveiligingsperspectief maken die diensten deel uit van de keten.

Kleinere teams hebben mogelijk geen beoordelingsprocessen voor leveranciers

Grote organisaties hebben vaak inkoopafdelingen, vragenlijsten over leveranciersrisico’s, beveiligingsbeoordelingen en juridische processen. Het mkb vertrouwt in plaats daarvan vaak op informeel vertrouwen en snelheid.

Sinds begin 2025 heeft Protons Data Breach Observatory 512 schendingen geïdentificeerd waarbij meer dan 902 miljoen records zijn blootgesteld. Dit soort zichtbaarheid is belangrijk omdat veel schendingen niet beperkt blijven tot één bedrijf zodra inloggegevens, contactgegevens of bedrijfsgegevens op straat liggen.

Dat betekent niet dat kleine bedrijven de bureaucratie van grote ondernemingen nodig hebben. Het betekent wel dat ze een praktische manier nodig hebben om basisvragen te stellen voordat ze toegang verlenen, en om de toegang te herzien zodra de werkzaamheden veranderen.

De toegang voor leveranciers is vaak breder dan nodig

De toegang voor leveranciers binnen een bedrijf wordt meestal om praktische redenen uitgebreid. Soms heeft een contractant toegang nodig tot een gedeelde drive, of heeft een agentschap toegang nodig tot analyses of advertentieaccounts. Op dat moment voelt het verlenen van toegang als de snelste manier om het werk gaande te houden, vooral voor een klein bedrijf met weinig mensen of middelen.

Het risico ontstaat pas later, wanneer die machtigingen niet worden beperkt, herzien of verwijderd. Een leverancier kan toegang behouden nadat een project is beëindigd, een gedeelde login kan blijven circuleren of een integratie kan verbonden blijven lang nadat de oorspronkelijke behoefte is verdwenen.

Praktijkvoorbeelden van supplychain-aanvallen

Recente gegevens over datalekken tonen aan dat het risico van derden niet theoretisch is. Tijdens het onderzoek voor onze Data Breach Observatory hebben we verschillende incidenten ontdekt die verband houden met blootstelling van derden of de toeleveringsketen. Dit toont aan hoe klant-, werknemers- of bedrijfsgegevens in gelekte datasets kunnen verschijnen, zelfs wanneer de getroffen organisatie niet noodzakelijkerwijs het oorspronkelijke punt was dat in gevaar werd gebracht.

Amtrak

In april 2026 bracht de Data Breach Observatory een incident met een derde partij in kaart dat verband hield met Amtrak, waarbij meer dan 7,4 miljoen records werden blootgesteld. De gegevens die in gevaar werden gebracht, bevatten namen, fysieke adressen, postcodes, telefoonnummers, e-mailadressen en gebruikersnamen.

Voor bedrijven is dit een duidelijk voorbeeld van hoe een incident bij derden identiteits- en contactgegevens op grote schaal kan blootstellen, wat risico’s met zich meebrengt voor phishing, impersonatie en aanvallen op basis van inloggegevens.

Canada Goose

Kledingbedrijf Canada Goose werd in februari 2026 getroffen door een incident bij een derde partij, waarbij meer dan 921.000 records werden blootgesteld. De gegevens die in gevaar werden gebracht, bevatten namen, fysieke adressen, telefoonnummers en e-mailadressen.

Zelfs zonder wachtwoorden kan dit soort datasets het bedrijfsrisico verhogen, omdat aanvallers contactgegevens kunnen gebruiken om oplichting, phishingpogingen en social engineering geloofwaardiger te maken.

Hoe u het risico van derden kunt beoordelen

U heeft geen groot risicoteam of veel middelen nodig om het risico van uw bedrijf te beoordelen. Begin met een eenvoudige inventarisatie en richt u op de leveranciers die het belangrijkst zijn.

1. Breng uw leveranciers en toegang in kaart

Maak een lijst van de leveranciers, SaaS-diensten, externe contractanten en partners met toegang tot uw systemen of gegevens. Noteer voor elk daarvan:

  • Tot welke gegevens zij toegang hebben.
  • Welke accounts of integraties zij gebruiken.
  • Of zij beheerdersmachtigingen hebben.
  • Of de toegang individueel of gedeeld is.
  • Of meervoudige verificatie vereist is.
  • Wie er intern verantwoordelijk is voor de relatie.
  • Wanneer de toegang voor het laatst is herzien.

Deze inventarisatie is veel eenvoudiger bij te houden wanneer de toegang van leveranciers wordt beheerd via een gecontroleerd systeem met een duidelijke eigenaar, beheerderszichtbaarheid en herroepbare toegang.

2. Rangschik leveranciers op basis van risico

Niet elke leverancier heeft een gedetailleerde beoordeling nodig. Een loonadministratieprovider, cloudopslagplatform, IT-provider, CRM of beheerde serviceprovider verdient een strengere controle dan een service met een laag risico zonder gevoelige gegevens.

Geef prioriteit aan leveranciers die klantgegevens, inloggegevens, betalingen, werknemersinformatie, productiesystemen of beheerderstoegang verwerken.

3. Stel beveiligingsvragen voordat u toegang verleent

Voordat u toegang verleent, is het nuttig om een stap terug te doen en te beoordelen of de derde partij echt nodig is, tot welke systemen of gegevens zij toegang moeten hebben en of dat toegangsniveau gerechtvaardigd is. In deze fase ontdekken veel organisaties dat ze afhankelijk zijn van meer leveranciers, integraties en externe accounts dan ze dachten.

Een lichte beoordeling van de leverancier kan nog steeds nuttig zijn. Vraag:

  • Wat gebeurt er met onze gegevens als we weggaan?
  • Ondersteunt u 2FA?
  • Hoe beschermt u klantgegevens?
  • Biedt u op functies gebaseerde toegangscontroles?
  • Staat u controlelogboeken of activiteitsrapporten toe?
  • Beschikt u over relevante beveiligingscertificaten of volgt u erkende beveiligingsnormen?
  • Hoe stelt u klanten op de hoogte van incidenten?
  • Hoe beheert u de toegang van werknemers intern?
  • Ondersteunt u toegang met de minste privileges?

Wat uw bedrijf kan doen om blootstelling te verminderen

Het verminderen van risico’s in de toeleveringsketen begint met controle. In de praktijk betekent dit dat uw bedrijf duidelijke regels nodig heeft voor hoe leveranciers worden gescreend, waartoe ze toegang hebben, hoe hun activiteit wordt gemonitord en wat er gebeurt als een derde partij in gevaar wordt gebracht.

Screen externe leveranciers op hun beveiligingspraktijken

Voordat u een leverancier toegang geeft tot bedrijfssystemen of gevoelige gegevens, moet u controleren of hun beveiligingspraktijken overeenkomen met het risico. Een leverancier die klantgegevens, financiële gegevens of beheerderstoegang verwerkt, moet aan een hogere norm voldoen dan een eenvoudige productiviteits-app.

Let op 2FA-ondersteuning, op functies gebaseerde machtigingen, controlelogboeken, toezeggingen voor incidentmeldingen, controles voor gegevensretentie en duidelijke offboardingprocessen.

Pas het principe van de minste privileges toe op toegang voor derden

Het principe van de minste privileges beperkt de impact als een leveranciersaccount in gevaar wordt gebracht. Dat betekent dat u geen beheerdersmachtigingen geeft wanneer alleen-lezen toegang voldoende is, of brede gedeelde mappen wanneer een specifieke map volstaat.

Gebruik zero trust-principes voor leveranciers

Zero trust betekent niet dat u elke leverancier moet wantrouwen. Het betekent dat u er niet van uitgaat dat een vertrouwde relatie onbeperkte toegang moet creëren.

Voor toegang van leveranciers betekent dit het verifiëren van de identiteit, het beperken van machtigingen, het regelmatig herzien van de toegang, het vereisen van 2FA, het monitoren van activiteiten en het behandelen van elke verbinding als iets dat beheer vereist.

Monitor ongebruikelijke toegangspatronen

Accounts die verbonden zijn met leveranciers moeten worden gemonitord op gedrag dat niet past bij normaal gebruik. Let op ongebruikelijke inloglocaties, onverwachte downloads, nieuwe beheerders, wijzigingen in machtigingen, activiteiten buiten werktijd, nieuwe integraties of toegang tot gegevens buiten de functie van de leverancier.

Deze signalen zijn niet altijd een bewijs dat er systemen in gevaar zijn gebracht, maar ze kunnen uw team helpen te reageren voordat een klein probleem een groter datalek wordt.

Bereid u voor op situaties waarin een derde partij in gevaar wordt gebracht

Uw incidentenresponsplan moet incidenten bij leveranciers bevatten. Als een leverancier een schending meldt, moet uw bedrijf weten wat de volgende stappen zijn. We hebben geschreven over bescherming tegen gegevensschendingen voor bedrijven, wat u kan helpen bij het structureren van de reactie van uw bedrijf op het in gevaar brengen van derden.

Bepaal wie contact opneemt met de leverancier, wie de toegang controleert, wie de logboeken controleert, wie beslist of inloggegevens moeten worden geroteerd en wie indien nodig communiceert met klanten of toezichthouders.

Gebruik unieke inloggegevens voor elke leverancier en tool van derden

Unieke inloggegevens zijn een van de eenvoudigste manieren om de impact van een aanval op de toeleveringsketen te beperken. Als er een schending plaatsvindt in het portaal van een leverancier en een werknemer dat wachtwoord elders heeft hergebruikt, kunnen aanvallers dezelfde inloggegevens proberen voor e-mail, SaaS-platformen, financiële tools of beheerdersystemen.

Een uniek wachtwoord per leverancier voorkomt dit directe hergebruik. Het maakt de incidentenrespons ook overzichtelijker. Wanneer een leverancier in gevaar wordt gebracht, weet u welke inloggegevens aandacht vereisen, in plaats van dat u zich moet afvragen waar hetzelfde wachtwoord mogelijk is gebruikt.

Proton Pass is een wachtwoordbeheerder voor bedrijven die uw team kan helpen bij het genereren van sterke, unieke wachtwoorden voor elke leverancier en dienst van derden, het opslaan ervan in versleutelde kluizen, het gebruiken van automatisch aanvullen en het veilig delen van toegang. Dit maakt het eenvoudiger om een goede hygiëne van inloggegevens te handhaven voor de vele externe diensten waarvan moderne bedrijven afhankelijk zijn.

De verbinding van inloggegevens bij aanvallen op de toeleveringsketen

Aanvallen op de toeleveringsketen beginnen vaak bij leveranciers, maar inloggegevens bepalen hoe ver de impact zich kan verspreiden.

Als het account van een contractant in gevaar is gebracht maar beperkte toegang heeft, kan de schade worden beperkt. Als datzelfde account brede machtigingen, gedeelde inloggegevens, hergebruikte wachtwoorden of toegang tot gevoelige systemen heeft, heeft de aanvaller meer bewegingsruimte.

Dit is de reden waarom wachtwoord- en toegangsbeheer thuishoren in het risicobeheer van de toeleveringsketen. Voor elke leverancier of tool van derden moet uw bedrijf weten:

  • Welke inloggegevens er bestaan.
  • Wie er toegang toe heeft.
  • Of het wachtwoord uniek is.
  • Of MFA is ingeschakeld.
  • Of toegang nog steeds nodig is.
  • Of het account gedeeld of individueel is.
  • Wie intern de eigenaar is van het account.

Een wachtwoordbeheerder voor bedrijven zoals Proton Pass helpt om die vragen gemakkelijker te beantwoorden. In plaats van dat inloggegevens rondslingeren in spreadsheets, browserprofielen, chatberichten of persoonlijke notities, kunnen wachtwoorden van leveranciers worden opgeslagen in een gecontroleerd systeem met beveiligde deling en duidelijker eigendom.

Dat neemt de noodzaak om leveranciers te screenen of activiteiten te controleren niet weg. Het versterkt een van de meest impactvolle controlemaatregelen: ervoor zorgen dat een schending bij derden geen probleem van wachtwoordhergebruik binnen uw eigen bedrijf wordt.

Integreer de beveiliging van derden in de dagelijkse bedrijfsvoering

Een aanval op de toeleveringsketen verandert vertrouwen in de toegangsweg. Een leverancier, software-update, SaaS-account, contractant of integratie die normaal gesproken het bedrijf ondersteunt, kan de route worden die aanvallers gebruiken om toegang te krijgen tot gegevens of systemen.

Kleine bedrijven kunnen derden niet vermijden, en dat hoeft ook niet. SaaS-tools, IT-providers, contractanten en leveranciers maken deel uit van de manier waarop moderne bedrijven werken. Het doel is om die relaties met voldoende controle te beheren, zodat het in gevaar brengen van één partij niet leidt tot een grotere schending.

Begin met de basis: breng uw leveranciers in kaart, beoordeel de toegang, stel beveiligingsvragen, pas het principe van de minste privileges toe, gebruik zero trust-principes, monitor ongebruikelijke activiteiten en bereid u voor op het in gevaar brengen van derden. Beperk vervolgens het risico van inloggegevens door elke leverancier en dienst van derden een eigen, uniek wachtwoord te geven.

Proton Pass helpt bedrijven om die controle in de dagelijkse praktijk te brengen. Wanneer elke leverancierslogin eigen unieke inloggegevens heeft, gedeelde toegang binnen versleutelde kluizen blijft en teams toegang kunnen intrekken zodra een relatie eindigt, is de kans veel kleiner dat één geschonden wachtwoord een kettingreactie veroorzaakt in uw bedrijfsaccounts.