Software Supply Chain Failures

Meer dan 90% van de organisaties heeft in de afgelopen 12 maanden te maken heeft gehad met een incident in de software supply chain, blijkt uit het onderzoek van Enterprise Strategy Group (ESG). Gartner verwacht zelfs dat de kosten van dit soort aanvallen in 2031 zullen stijgen naar $ 138 Miljard per jaar wereldwijd. Meerdere onderzoeken tonen vergelijkbare getallen.

Het toonaangevende OWASP (The Open Worldwide Application Security Project) heeft software supply chain failures in 2025 als nieuwe categorie op plaats 3 gezet in hun Top 10. Allemaal signalen om eens verder in deze ontwikkeling te duiken.

Wat zijn software supply chain failures?

Een software supply chain failure ontstaat wanneer een kwetsbaarheid, fout of kwaadwillige manipulatie in de softwareketen leidt tot risico’s of incidenten bij afnemers. Dat kan op verschillende momenten in de keten gebeuren, bijvoorbeeld

• Tijdens softwareontwikkeling (onveilige code, kwetsbare libraries)
• In updateprocessen (gecompromitteerde updates)
• Via afhankelijkheden van derden (open source packages, API’s)
• Door gebrekkig patch- en vulnerability management bij leveranciers

Het kenmerkende aan dit risico is dat je wordt geraakt zonder zelf direct iets ‘fout’ te doen.

Waarom nemen deze risico’s toe?

Er zijn meerdere ontwikkelingen die software supply chain failures structureel waarschijnlijker maken. Ten eerste is software steeds modulairder. Moderne applicaties bestaan uit tientallen tot honderden externe componenten en open source libraries. Elke extra afhankelijkheid vergroot het risico.

Daarnaast automatiseren leveranciers hun uitrol en updates. Dat verhoogt de snelheid, maar maakt misbruik extra schaalbaar, een kwaadaardige update verspreidt zich razendsnel. Tot slot richten aanvallers zich steeds vaker op leveranciers met veel klanten. Het rendement van één succesvolle aanval is simpelweg groter dan het individueel hacken van eindorganisaties.

Bekende voorbeelden

Als je de zoekmachines raadpleegt zal je een lange lijst van incidenten tegenkomen. De volgende voorbeelden hebben meer dan gemiddeld uitgebreid het nieuws gehaald.

• SolarWinds (2020): Een van de bekendste voorbeelden, waarbij aanvallers de “Orion”-netwerkbeheersoftware binnendrongen en via een automatische update een backdoor installeerden bij duizenden klanten, waaronder Amerikaanse overheidsinstanties.
• Log4j / Log4Shell (2021): Een kritieke kwetsbaarheid in een veelgebruikte, open-source Java-loggingbibliotheek. Omdat deze bibliotheek in talloze toepassingen zat, konden aanvallers op grote schaal servers overnemen.
• Ivanti is de afgelopen jaren herhaaldelijk doelwit geweest van geavanceerde aanvallers. In 2023 en 2024 werden kritieke kwetsbaarheden actief misbruikt door statelijke actoren. In 2025 zijn er nieuwe kritieke lekken ontdekt om zonder inloggegevens controle over bedrijfsapparaten te krijgen. Onderzoekers wijzen erop dat het misbruik voortkomt uit de manier waarop Ivanti open-source componenten implementeert en verzuimt deze up-to-date te houden.

De impact op organisaties

De gevolgen van software supply chain failures voor je organisatie hangt uiteraard sterk af van de afhankelijkheid die je organisatie met deze software heeft en hoe ernstig de storing is.

De primaire directe impact kan soms klein lijken, terwijl de gevolgschade aanzienlijk kan zijn. In het geval van het Ivanti misbruik bij de De Nederlandse Autoriteit Persoongegevens (AP) en de Raad voor de rechtspraak (Rvdr) heeft dit zelfs geleid tot verantwoording in de tweede kamer.

Voor veel organisaties is het extra pijnlijk dat zij nauwelijks zicht hadden op de onderliggende softwareketen en pas duidelijkheid kregen toen het kwaad al was geschied.

Waarom traditionele leveranciersbeoordelingen tekortschieten

Veel organisaties vertrouwen nog op jaarlijkse vragenlijsten, certificeringen of contractuele afspraken. Hoewel nuttig, schieten deze middelen tekort bij dynamische softwareketens, die om de paar weken kunnen veranderen.

Vragenlijsten zijn momentopnames, ze zeggen weinig over actuele kwetsbaarheden en ze geven geen zicht op technische afhankelijkheden. Software supply chain risk vraagt om continue monitoring en objectieve signalen, niet alleen om papierwerk.

Effectief omgaan met software supply chain failures vraagt om een andere benadering:

• Inventariseer welke softwareleveranciers kritisch zijn voor je processen
• Breng technische afhankelijkheden en digitale ketens in kaart
• Monitor leveranciers continu op kwetsbaarheden en incidenten
• Combineer technische signalen met risico conetext
• Zorg voor duidelijke verantwoordelijkheden intern

Het doel is niet om elk risico uit te sluiten, maar om vroegtijdig signalen te herkennen en impact te beperken.

Software supply chain failures en RiskStudio

Binnen RiskStudio vormen softwareleveranciers een expliciet onderdeel van supply chain monitoring. Door bedrijven en softwareleveranciers continu te profileren op basis van hun digitale profiel, kwetsbaarheden en incidenten ontstaat een actueel beeld van software supply chain risk.

In plaats van losse beoordelingen biedt RiskStudio doorlopende inzichten, benchmarking en alerts, zodat organisaties proactief kunnen reageren wanneer een software supply chain failure

Conclusie

Software supply chain failures zijn geen uitzonderlijke incidenten meer, maar structureel risico in moderne digitale ecosystemen. Organisaties die vertrouwen op statische beoordelingen lopen achter de feiten aan. Alleen met continue monitoring, inzicht in afhankelijkheden en contextgedreven risicoanalyse ontstaat echte grip op de softwareketen.

Referenties en bronnen:

• OWASP – OWASP Top10:2025
• ESG 2024 – Research Report: The Growing Complexity of Securing the Software Supply Chain
• Gartner 2024 – Leader’s Guide to Software Supply Chain Security
• Tweede Kamer – Incident bij de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak