Waarom cyberaanvallen tóch slagen, ook als je securitymonitoring hebt

Peter De Weerd
cyber
Cyberaanvallen slagen zelden door een gebrek aan technologie, maar juist door wat er in de praktijk misgaat. Monitoring staat vaak aan, maar signalen worden gemist, verkeerd geïnterpreteerd of te laat opgevolgd. Met een paar gerichte, praktische ingrepen verklein je direct het risico slachtoffer te worden, stelt Jurjen Harskamp van Hunt@Hackett.

Stel je voor: maandagochtend, 07.15 uur. De eerste vrachtwagens melden zich bij het dock, voicepicking start op, scanners gaan aan. In het WMS lijkt alles normaal. Orders komen binnen, pickopdrachten rollen uit het systeem, de bezetting is krap maar werkbaar.

Wat je niet ziet: ergens in de achtergrond draait al ruim een week een onbekende “gebruiker” mee in je omgeving. Geen ransomware, geen stilvallende band. Er worden “alleen maar” databases ingezien, exports gedraaid en logbestanden opgeschoond. Er was monitoring. Die zag het niet.

Precies dit zien we bij incidenten zoals Odido, Clinical Diagnostics en Basic-Fit. Systemen bleven werken, maar grote hoeveelheden data werden buitgemaakt. De schade zit dan niet alleen in herstelkosten en juridische verplichtingen, maar vooral in het misbruik van de data, claims en reputatieschade.

Opvallend: uit publieke informatie blijkt dat zowel Odido als Clinical Diagnostics al beveiligingsmaatregelen én securitymonitoring hadden. Dat sluit aan bij wat wij, Hunt & Hackett, dagelijks zien. Aanvallers gebruiken zelden nieuwe technieken, maar bekende methodes die werken omdat er gaten in zicht en onderhoud zitten. Niet omdat er helemaal géén monitoring is.

Voor logistieke organisaties geldt hetzelfde risico: je warehouse kan gewoon operationeel blijven, terwijl klant‑, order‑ of transportdata al weglekt.

Van ransomware naar datadiefstal: zo verdienen aanvallers hun geld

Achter de meeste aanvallen zit één doel: geld verdienen. Dat gebeurt doorgaans via:

  • ransomware;
  • frauduleuze betaalopdrachten (Business Email Compromise);
  • afpersing na het stelen van data.

Vooral dat laatste zien we steeds vaker: aanvallers richten zich op het buitmaken van gegevens, zonder systemen direct stil te leggen. In een logistieke omgeving betekent dat concreet: een aanvaller die met de inloggegevens van een WMS-beheerder rustig exporteert welke klanten bij welke adressen bestellen, welke orders er lopen, tegen welke kosten en wat er wanneer wordt verscheept.

Veel gebruikte ingangen zijn:

  • inloggegevens van medewerkers of leveranciers (via phishing of een besmette laptop);
  • systemen die direct aan het internet hangen (zoals firewalls en VPN’s) en niet actueel zijn;
  • leveranciers of SaaS diensten‑ die zelf worden aangevallen, maar wel rechten hebben in jouw omgeving.

Steeds vaker misbruiken aanvallers dus geldige identiteiten: ze loggen in in plaats van “in te breken”. Zolang logging en basisbeveiliging niet op orde zijn, hebben ze alle tijd om via deze paden waardevolle data te verzamelen zonder dat iemand het merkt.

Waarom securitymonitoring alléén niet voldoende is

Veel organisaties kunnen vol overtuiging zeggen: “Wij hébben securitymonitoring.” Maar in de praktijk zien we als Managed Detection & Response partij dat aanvallen toch slagen door steeds dezelfde patronen:

  • Belangrijke systemen geven te weinig informatie.
    Firewalls, VPN-oplossingen, OT‑systemen en oudere servers loggen niet of te kort. Dan kun je achteraf niet meer zien wat er is gebeurd en blijft datadiefstal makkelijk onopgemerkt.
  • Te veel vertrouwen op één oplossing.
    Endpointbeveiliging (EDR) op laptops en servers is nuttig, maar nooit een volledige aanpak. Aanvallers testen hun technieken expliciet tegen EDR‑producten en weten vaak hoe ze detectie kunnen omzeilen.
  • Blinde vlekken geven aanvallers tijd.
    Onvoldoende logging, kwetsbare koppelingen, te korte bewaartermijnen en zwakke afspraken met leveranciers geven aanvallers de ruimte om rustig data te verzamelen en weg te sluizen.
Ladingdiefstal verschuift van asfalt naar cyber: sectororganisaties slaan alarm

Monitoring is er vaak wel, maar niet over de héle keten: van eerste toegang (bijvoorbeeld via VPN of leverancier), via laterale beweging (WMS, kantoor-IT, OT) tot het moment waarop data wordt weggeschreven of geëxfiltreerd. Juist in dat middenstuk missen vaak kritieke puzzelstukjes.

Wat kun je hier als logistieke organisatie concreet mee doen?

1. Weet waar je “kroonjuwelen” staan

Begin niet met nieuwe technologie, maar met overzicht: waar staat welke informatie, en wie kan erbij?

  • Maak een overzicht van systemen met klant‑, order‑ en transportdata (WMS, TMS, ERP, rapportages, exports).
  • Breng in kaart welke afdelingen, IT‑leveranciers en software‑partners toegang hebben.
  • Leg vast via welke ingangen men binnen kan komen (VPN, portalen, remote support, API‑koppelingen).
  • Kijk niet alleen wáár data staat, maar ook via welke aanvalspaden iemand daar realistisch kan komen
cyber hunt hackett

Dit overzicht is het vertrekpunt voor elke verdere maatregel.

2. Maak misbruik van accounts lastiger

Aanvallers loggen vaak in met geldige accounts. De kunst is te voorkomen dat één account overal bij kan.

  • Splits beheerrechten: een WMS-beheerder hoeft niet automatisch toegang te hebben tot alle kantoor‑-IT‑ en OT.
  • Breng serviceaccounts onder controle: zijn ze nodig, hebben ze niet te veel rechten, worden wachtwoorden regelmatig vervangen?
  • Versterk het servicedeskproces: leg vast hoe identiteit wordt gecontroleerd bij resets en nieuwe rechten, zodat één telefoontje niet genoeg is om alles open te zetten.

Zorg ook dat afwijkend gebruik van beheer‑ en serviceaccounts in de logging opvalt: ongebruikelijke tijden, nieuwe locaties, grote data‑exports, etc.

3. Zorg dat systemen richting internet goed worden beheerd

Firewalls, VPN’s en apparatuur voor remote beheer zijn vaak directe doelwitten. Daar wil je grip op hebben.

  • Maak een lijst van alle systemen die direct of via internet bereikbaar zijn.
  • Spreek met IT af binnen welke termijn beveiligingsupdates worden geïnstalleerd zodra er kwetsbaarheden bekend zijn.
  • Controleer steekproefsgewijs of patches en configuratiewijzigingen op deze systemen daadwerkelijk zijn doorgevoerd.
  • Zorg dat deze systemen loggegevens aanleveren aan je securitymonitoring.

Kun je een systeem niet snel bijwerken, regel dan extra beperkingen eromheen, zoals netwerksegmentatie en strengere toegangsregels.

4. Betrek leveranciers en SaaS-‑partners bij je beveiliging

Je keten is zo sterk als de zwakste schakel. Leveranciers en SaaS-‑partners moeten dus ook aan minimale eisen voldoen.

  • Leg vast welke leveranciers en online diensten toegang hebben tot welke systemen en data.
  • Eis minimaal:
    • tweestapsverificatie (MFA),
    • logging van toegang,
    • een duidelijke meldplicht bij incidenten.
  • Beperk welke gegevens leveranciers mogen inzien of exporteren: alleen wat nodig is voor hun werk.

Neem deze eisen op in contracten en SLA’s, zodat het geen vrijblijvende afspraken blijven.

5. Test of het in de praktijk werkt

Op papier kan alles goed geregeld lijken. De vraag is of je beveiliging werkt als er écht iets gebeurt.

Oefen met scenario’s die bij de organisatie passen:

  • misbruik van een beheeraccount;
  • een aangevallen VPN‑systeem;
  • een leverancier die met zijn account “plots” veel meer doet dan normaal;
  • een grote, opvallende export van klant‑ of orderdata (stille datadiefstal zonder uitval).

Kijk of dit wordt gezien door je securitymonitoring, of er een melding komt en of het team weet wat te doen. Gebruik de uitkomsten om logging, regels en afspraken gericht te verbeteren.

Van meer securitymonitoring naar aantoonbare grip

De incidenten bij Odido en Clinical Diagnostics laten zien: er wás securitymonitoring, maar aanvallers hadden toch lang genoeg ruimte om data te stelen. Het probleem zit dus minder in het hebben van monitoring, en meer in hóé je het inricht:

  • is er voldoende logging en zicht op het hele aanvalspad (van externe toegang tot WMS, OT en cloud‑koppelingen)?
  • worden signalen goed geduid en opgevolgd?
  • kan er 24/7 worden ingegrepen als het misgaat?
  • kun je aantonen – richting klanten, auditors en toezichthouders – dat je controles echt werken, in plaats van alleen beleid op papier te hebben?

Daarom is een dienst als Managed Detection & Response (MDR) relevant voor logistieke organisaties: niet alleen data verzamelen, maar gericht kijken naar de keten en aanvalspaden die voor jullie het meest kwetsbaar zijn, en actief reageren bij verdacht gedrag. Zo verklein je de kans dat jouw warehouse ogenschijnlijk normaal doordraait, terwijl de data al weg is en de echte schade pas later zichtbaar wordt.

Cybercrime: Hoe hackers de logistiek bedreigen en wat jij kan doen (podcast)

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie gegevens worden verwerkt.