Niemand is immuun: slachtoffer worden van een cyberaanval kan elke organisatie overkomen. Het digitale dreigingslandschap wordt elk jaar complexer en onvoorspelbaarder, wat betekent dat het verhogen van uw cyberweerbaarheid cruciaal is.
Daarom blikken we in deze blog terug op drie cyberincidenten die de krantenkoppen haalden. Je hebt er vast over gelezen, maar met deze blog willen we nog één keer terugblikken op 2025. We bespreken wat er fout ging, maar nog belangrijker: de waardevolle inzichten die deze opgeleverd hebben.
1. TU Eindhoven
De universiteit TU Eindhoven werd in januari dit jaar gehackt. Een week lang konden studenten niet bij hun studiemateriaal en e-mail, honderden tentamens moesten worden uitgesteld en er stroomde duizenden vragen binnen van studenten.
Ruim voordat de hack plaatsvond waren inloggegevens van studenten gelekt. De universiteit heeft gebruikers toentertijd gevraagd om hun wachtwoord te resetten. Er was echter geen technische maatregel die voorkwam dat gebruikers hun oude vertrouwde wachtwoord gewoon opnieuw konden gebruiken. Met deze gelekte en ongewijzigde inloggegevens kreeg de hacker onopgemerkt toegang tot het computernetwerk.
Zodra de universiteit op de hoogte kwam van de hack is het netwerk direct uitgeschakeld. Na het offline halen van de netwerken is er forensisch onderzoek uitgevoerd samen met de politie. De daders zijn niet gevonden, maar het vermoeden is dat het om een ransomwareaanval ging, waarbij de hacker uit was op losgeld.
Op de website van TU Eindhoven is te lezen hoe de universiteit met de hack om is gegaan. Wat voornamelijk duidelijk wordt is dat de universiteit al geoefend had met crisissituaties, waardoor werknemers wisten wat ze moesten doen. Uiteindelijk heeft dit er volgens de universiteit voor gezorgd dat er snel gehandeld kon worden, er weinig stress was en de situatie ook redelijk snel weer onder controle was.
Inzicht: Oefenen, oefenen, oefenen.
De aanval op TU Eindhoven toont aan hoe belangrijk het is om crisissituaties te oefenen. Een cyberaanval kan namelijk elke organisatie overkomen. Het is essentieel om een incident response plan klaar te hebben liggen en deze met regelmaat te testen. Op het moment dat je voorbereid bent weet je hoe je moet schakelen in bepaalde situaties, wie welke verantwoordelijkheid heeft, hoe je de schade moet beperken en hoe je de gedane schade zo snel mogelijk kunt herstellen.
Daarnaast is met deze casus heel duidelijk geworden dat het belangrijk is om technische maatregelen toe te passen die ervoor zorgen dat een wachtwoord niet twee keer gebruikt kan worden. Zeker niet na een datalek. Een andere maatregel die dat zou kunnen voorkomen is het inschakelen van multifactor authentication. Zo zorg je er voor dat er meer dan alleen een wachtwoord nodig is om in te loggen.
2. De hack op Clinical Diagnostics.
In juli dit jaar is het netwerk van Clinical Diagnostics Nederland getroffen door een gerichte cyberaanval. Er ontstond al snel een grote ophef omtrent het datalek, omdat slachtoffers pas laat op de hoogte werden gebracht. Er werd niet duidelijk gecommuniceerd welke gegevens er gelekt waren en wat slachtoffers konden doen. Uiteindelijk bleken de hackers toegang te hebben gekregen tot onder andere de volgende gegevens: naam, geslacht, adres, BSN, type onderzoek en testuitslagen.
De kern van het probleem was de onduidelijke en tegenstrijdige AVG-rolverdeling tussen Clinical Diagnostics en SBO. Clinical Diagnostics zag zichzelf als de verwerkingsverantwoordelijke en meldde het datalek daarom enkel bij de Autoriteit Persoonsgegevens (AP), terwijl SBO zichzelf ook als verwerkingsverantwoordelijke zag en Clinical Diagnostics slechts als verwerker. Doordat Clinical Diagnostics handelend vanuit haar eigen perceptie, duurde het veel te lang voordat SBO op de hoogte was van het datalek.
In augustus is de Autoriteit Persoonsgegevens (AP) een onderzoek gestart naar het laboratorium. Aangezien Clinical Diagnostics een geruime tijd na het ontdekken van het datalek pas de betrokkenen heeft geïnformeerd, is er de vraag of hiermee de AVG is overtreden.
Inzicht: Ken je AVG-rol.
Als Clinical Diagnostics en SBO duidelijke afspraken hadden gehad over wie de verwerkingsverantwoordelijke was bij het onderzoek, dan had SBO veel eerder geïnformeerd kunnen worden over het datalek. In dat geval had SBO ook tijdig een eigen afweging kunnen maken over het melden van het datalek aan de Autoriteit Persoonsgegevens en het informeren van de betrokkenen.
Dit incident is dan ook een goed voorbeeld voor andere organisaties. Het bewijst hoe belangrijk het is om duidelijke afspraken te maken over elkaars AVG-rol en deze contractueel vast te leggen. Door dit te doen wordt bij een datalek de onzekerheid over de eigen juridische positie weggenomen. Weten wat je rol is in het geval van een datalek is essentieel, omdat er snel beslissingen genomen moeten worden om de rechten van betrokkenen te waarborgen en aan de wettelijke meldplichten van de AVG te voldoen.
3. Amazon Web Services storing.
Op 20 oktober vond er een storing plaats bij Amazon Web Services (AWS). Als gevolg werd een groot scala aan diensten onbereikbaar. De storing trof namelijk niet alleen Amazon-producten, zoals Prime Video en Amazon Music, maar bijna alle bedrijven die gebruik maken van de clouddiensten van AWS. Wereldwijd zou het gaan om een totaal van meer dan 1.000 bedrijven die de dupe waren van de storing. Ook Nederlandse bedrijven ondervonden problemen, zoals DigiD en de Belastingdienst.
Al snel meldde Downdetector, een wereldwijde storingsmonitor, dat er meer dan 6,5 miljoen meldingen waren binnengekomen van gebruikers die problemen ervaarde bij verschillende websites en apps. Banken en zakelijke tools waren getroffen, zoals Slack, Jira en Zoom. Jongeren konden niet meer in Snapchat. En gamers kregen te maken met uitval van Playstation Netwerk, Fortnite en Roblox.
Via het AWS Health Dashboard liet Amazon al snel weten dat de storing verholpen was. De oorzaak bleek een storing in het DNS-systeem te zijn dat verantwoordelijk is voor de vertaling van domeinnamen naar IPS-adressen. Hierdoor konden bepaalde API's niet worden bereikt, wat resulteerde in verhoogde foutpercentages en vertragingen.
Inzicht: Afhankelijkheid = Risico's.
De storing in AWS toont aan wat de concentratierisico's zijn die ontstaan door afhankelijkheid van een beperkt aantal grote cloudproviders. Zodra de kernregio van AWS uitvalt heeft dat dus direct gevolgen voor duizenden bedrijven die hun workloads in deze infrastructuur draaien.
Hoogleraar Alan Woodward van de University of Surrey zegt hierover het volgende:
"Zoveel online diensten vertrouwen op derde partijen voor hun fysieke infrastructuur, en dit laat zien dat problemen ook bij de grootste van deze third-party providers zich kunnen voordoen".
In de basis is het erg simpel. Hoe afhankelijker je bent, hoe meer risico je loopt. Als organisatie wil je het aantal risico's zo veel mogelijk beperken. Het is dan ook verstandig om te zorgen dat je niet afhankelijk bent van grote Amerikaanse Techproviders, maar juist kiest voor lokale aanbieders.
Conclusie
Zoals aan het begin al werd gezegd: elke organisatie kan slachtoffer worden van een cyberaanval. Toch kun je als organisatie heel veel stappen ondernemen om je cyberweerbaarheid naar een zo hoog mogelijk niveau te tillen. De genoemde incidenten laten een aantal voorbeelden zien van wat je als organisatie kunt doen. Zoals het inperken van je risico's en het voorbereiden en oefenen van crisissituaties.
Wil je in het nieuwe jaar ook je cyberweerbaarheid onder handen nemen? Klop dan bij ons aan, we geven je graag de handvaten om gemakkelijk aan de slag te gaan.
Bron: Audittrail, Foto: Audittrail
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2025-editie, de vijftiende van het…
www.corporatieplein.nl
CorporatieGids Magazine - November 2025 Inhoud Alfred van den Bosch en Frank Roerdinkholder (Vivare): Ambities waarmaken begint bij durven doen Remco…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.
