Waarom het verzenden van facturen via e-mail u kwetsbaar maakt voor supply chain attacks

17 juni 2021

In het vorige blog “Supply chain attacks: Wat het is en hoe u uw bedrijf kunt beschermen” kwamen we erachter dat supply chain attacks veel vaker voorkomen dan we denken. Deze cyberaanvallen komen meestal via een leverancier of handelspartner in de supply chain terecht en kunnen onder andere door middel van de digitale communicatie ongestoord meerdere partijen infiltreren.

Om u en daarmee ook uw handelspartners en leveranciers minder kwetsbaar te maken voor supply chain attacks, heeft u de verantwoordelijkheid om veiligheidsmaatregelen te nemen én veiligheidseisen te stellen aan iedereen met wie u samenwerkt.

Waarschijnlijk neemt u al veiligheidsmaatregelen, zoals het hebben van beveiligingssoftware, gebruik van unieke wachtwoorden, zorgen voor back-ups en veilige opslag, maar heeft u ook weleens nagedacht over veilige communicatie(protocollen)?

Wat zijn communicatieprotocollen?

Aangezien de kern van dit verhaal is dat het verzenden van facturen via e-mail u (en onze klanten) kwetsbaar maken voor supply chain attacks, is het zinvol om als voorbeeld het communicatieprotocol SMTP te gebruiken. SMTP is een soort communicatieprotocol, of methode voor bestandsoverdacht. Het staat voor Simple Mail Transfer Protocol.

De termen “communicatieprotocol” en “methode voor bestandsoverdracht” zijn verfijnde manieren om aan te geven hoe een bestand wordt verzonden of hoe de gegevens worden overgedragen van punt A naar punt B. Andere communicatieprotocollen zijn FTP, SFTP, OFTP, HTTPS enzovoort.

Wat is een onveilig netwerk?

Zoals u waarschijnlijk al kunt raden, is SMTP geen beveiligd netwerk. Zonder extra maatregelen is SMTP geen veilige uitwisselingsmethode, het mist namelijk een encryptie en authenticatie. Zonder een lange en technische uitleg, betekent dit dat (in het algemeen) alle berichten relatief blootgesteld zijn en toegankelijk zijn voor hackers. Daarom zijn e-mails van nature vatbaar om gehackt te worden, wat kan leiden tot een supply chain attack.

Hoewel het mogelijk is om een SMTP-omgeving te creëren die een aantal van de belangrijkste veiligheidsrisico's in verband met e-mailcommunicatie aanpakt, is het onwaarschijnlijk dat alle handelspartners de nodige stappen hebben genomen om hun e-mailuitwisselingen te beveiligen. Daarom pleiten wij voor het gebruik van veilige netwerken en ontwikkelen wij onze oplossingen met deze instelling in het achterhoofd.

Wat is een veilig netwerk?

In tegenstelling tot SMTP impliceert de uitwisseling via een beveiligd netwerk dat dezelfde veiligheidsmaatregelen gelden voor alle partijen die het netwerk gebruiken. Het populairste voorbeeld van een beveiligd netwerk is het Peppol-netwerk, een internationaal e-procurement netwerk dat vereist dat elke deelnemer een grondig verificatieproces ondergaat voordat hij verbinding kan maken met een sterk beveiligde digitale infrastructuur via een gecertificeerd Peppol Access Point, zoals TIE Kinetix.

De mogelijkheid om elektronische facturen via het Peppol-netwerk te verzenden is in Europa vaak een vereiste voor leveranciers die zaken willen doen met overheidsinstanties, en het wordt ook een steeds vaker voorkomende vereiste voor het zakendoen met organisaties in de particuliere sector. Maar zelfs voor degenen die niet verplicht zijn hun bedrijfsdocumenten - facturen of andere - via een netwerk zoals Peppol te verzenden, zijn er nog steeds opties om PDF- en XML-documenten veilig te versturen terwijl SMTP-communicatie (e-mail) wordt vermeden.

Een veilig alternatief voor SMTP-uitwisseling

Om ervoor te zorgen dat onze klanten en hun leveranciers minder vatbaar zijn voor supply chain attacks bij het gebruik van een of meer van onze oplossingen, nemen wij veel voorzorgsmaatregelen. Zo is TIE Kinetix ISO 27001 gecertificeerd, wat betekent dat wij voldoen aan de gestelde eisen voor informatiebeveiliging. Daarnaast bieden wij niet langer de mogelijkheid om PDF- of XML-facturen via e-mail te versturen. Al met al is dat gewoon te riskant voor alle betrokkenen.

Maar zoals eerder genoemd, zijn er nog steeds mogelijkheden om PDF- en XML-documenten veilig te verzenden. En met PDF-2-FLOW is dat net zo eenvoudig als het versturen van een e-mail. Na een eenvoudige installatie van de applicatie krijgt u toegang tot een ultraveilig netwerk waarmee u aan de eisen van uw klanten kunt voldoen en erop kunt vertrouwen dat uw kritieke zakelijke uitwisselingen niet door hackers worden onderschept.