Cyberincident op Heathrow: lessen in veerkracht en incidentrespons

Door Kate O'Flaherty • 30 oktober 2025

Nu toezichthouders veerkracht in bedrijfsactiviteiten eisen, wat kunnen anderen leren van de cyberaanval op een leverancier die gevolgen had voor Heathrow en vergelijkbare bedrijven in Europa?

In september, een Cyber aanval softwareleverancier Collins Aerospace leidde tot lange vertragingen op een aantal Europese luchthavens, waaronder Londen Heathrow. De aanval beïnvloed Collins' Muse-software voor passagiersverwerking, die door luchtvaartmaatschappijen wordt gebruikt voor het beheren van online incheck- en bagagesystemen op luchthavens.

Destijds concentreerden veel krantenkoppen zich op verstoringen en frustraties bij passagiers, maar het interessantere verhaal is misschien wel dat de activiteiten op Heathrow niet tot stilstand kwamen. De luchthaven bleef functioneren, zij het in een mindere staat, dankzij noodprocedures die al vóór het incident van kracht waren.

Het komt op een moment dat het risico op cyberaanvallen toeneemt. Volgens de cijfers van de Amerikaanse overheid is het aantal ransomware-aanvallen in de luchtvaartsector in één jaar tijd met 600% toegenomen. Thales.

Rekening houdend met dergelijke cijfers bereiden overheden en toezichthouders zich voor op een toekomst waarin het voorkomen van cyberincidenten niet meer mogelijk is. Het is veel belangrijker dat organisaties hun activiteiten draaiende kunnen houden wanneer ze zich toch voordoen.

Nu toezichthouders veerkracht in bedrijfsactiviteiten eisen, wat kunnen anderen leren van de cyberaanval die Heathrow en vergelijkbare luchtvaartmaatschappijen in Europa trof?

De grens tussen verstoring en ramp

De reactie van de luchthaven hielp de luchthaven om door te gaan, zelfs toen ze werd aangevallen. Het is een compliment waard dat Heathrow zich vooral richtte op het voortzetten van essentiële activiteiten, zelfs toen de kernfuncties vertraagden en zichtbare verstoringen veroorzaakten, aldus Becky White, senior advocaat bij het databeschermings- en privacyteam van Harper James.

"De prioriteit lag bij het handhaven van veilige reizen, niet bij het garanderen van een soepele passagierservaring", vertelt ze aan IO. "Door over te schakelen op vooraf geplande handmatige processen en kritieke systemen te scheiden van de getroffen systemen, konden ze de schok opvangen in plaats van eronder te bezwijken."

Een ramp zou een volledige stopzetting van het luchtverkeer en de passagiersverwerking betekenen, terwijl verstoring wachtrijen, vertragingen en tijdelijke oplossingen betekende. Heathrow had "duidelijk geïnvesteerd in noodprocedures die niet afhankelijk waren van perfecte omstandigheden", benadrukt White. "Toen systemen faalden, wisten de medewerkers hoe 'goed genoeg om open te blijven' eruitzag, en ze handelden daarnaar.

Lessen voor andere sectoren

Anderen zouden hier aandacht aan moeten besteden, vooral degenen die actief zijn in kritieke sectoren waar stilstand geen optie is. Naast de luchtvaart zijn er sectoren zoals de gezondheidszorg, energie, financiën – of de detailhandel, die een eigen crisis heeft doorgemaakt. golf van aanvallen – het voorbeeld van Heathrow laat zien hoe veerkracht het verschil kan maken.

Het gaat erom ervoor te zorgen dat kritieke data snel hersteld kan worden, systemen veilig hersteld kunnen worden en de bedrijfsvoering kan worden voortgezet – zelfs wanneer de primaire omgeving offline is, zegt Anthony Cusimano, directeur bij Object First. "Deze sectoren zijn sterk afhankelijk van ononderbroken toegang tot data en operationele systemen, en zelfs korte uitval kan verstrekkende gevolgen hebben."

Kritieke sectoren worden steeds vaker beoordeeld op hun vermogen om in een "verslechterde modus" te opereren in plaats van verstoring volledig te vermijden, zegt White. "Heathrow heeft aangetoond dat bedrijfscontinuïteit niet perfect hoeft te zijn. Het gaat om vooruitziendheid, oefening en het vermogen om prioriteiten te stellen wat moet blijven draaien."

De verborgen vraag

Volgens Sean Tilley, senior sales director EMEA bij 11:11 Systems, zou elk bestuur zich moeten afvragen hoe lang ze operationeel kunnen blijven als hun kernsystemen offline zouden gaan, aldus de aanpak van Heathrow.

Toch wijst hij op een ‘ongemakkelijke waarheid’: veel organisaties hebben dit scenario niet volledig getest en bedrijfscontinuïteitsoefeningen zijn vaak ‘theoretisch of geïsoleerd’.

De meeste organisaties gaan er stilletjes van uit dat ze het "een tijdje" zonder een kernsysteem kunnen redden, maar slechts weinigen hebben getest hoe lang dat daadwerkelijk duurt, zegt White. "De eerlijke vraag is niet of herstel mogelijk is, maar hoe lang het bedrijf kan functioneren zonder zijn belangrijkste platforms – en wat de kosten zouden zijn voor klanten, veiligheid of compliance."

Rekening houdend hiermee zouden organisaties het Heathrow-incident moeten beschouwen als "een casestudy voor veerkrachtplanning", aldus Ken Prole, executive director software engineering bij Black Duck. Hij wijst erop dat verstoring niet alleen voortkomt uit cyberaanvallen: het kan ook voortkomen uit onverwachte gebeurtenissen zoals de CrowdStrike-incident die in 2024 wereldwijd systemen platlegde.

Met de impact van downtime zoals deze in gedachten, benadrukt hij de vragen die gesteld moeten worden. Prole zegt bijvoorbeeld: "Hebt u alle kritieke afhankelijkheden in uw bedrijfsvoering geïdentificeerd en een grondig dreigingsmodel opgesteld? Beschikt u over een gedocumenteerd draaiboek met de te nemen maatregelen wanneer een of meer afhankelijkheden worden gecompromitteerd?"

Inkomende regelgeving

De noodzaak van operationele veerkracht ten tijde van een aanval is een belangrijk onderdeel van diverse regelgevingen. In het Verenigd Koninkrijk en de EU zijn kaders zoals de netwerk- en informatiesystemen (NIS2) richtlijn, Wet digitale operationele veerkracht (DORA) en het Verenigd Koninkrijk Wetsvoorstel cyberveiligheid en veerkracht prioriteit geven aan operationele continuïteit na een incident.

"Compliance vereist steeds vaker dat organisaties veerkracht aantonen door middel van statistieken, audits en bewijs van geteste herstelcapaciteiten", aldus Tilley.

Ondertussen ISO / IEC 27001 stelt een basis vast voor systemen voor informatiebeveiligingsbeheer, inclusief gedocumenteerde plannen voor incidentrespons (A.5.29), overwegingen met betrekking tot bedrijfscontinuïteit (A.5.30) en het regelmatig testen van plannen.

Volgens Prole leggen dergelijke normen de nadruk op scenariogebaseerde tests onder realistische omstandigheden, zodat organisaties ‘hun plannen kunnen valideren, hiaten kunnen identificeren en vertrouwen kunnen opbouwen in hun vermogen om effectief te reageren’.

Een andere nuttige bron is NIST-kader voor cyberbeveiliging (CSF), dat vijf kernfuncties omvat: ‘identificeren, beschermen, detecteren, reageren en herstellen’.

In het Verenigd Koninkrijk specifiek, de Cyber Assessment Framework van het Nationaal Cyber Security Centrum (CAF) is een instrument voor essentiële diensten en kritieke nationale infrastructuur.

Verantwoordelijkheid op bestuursniveau

Veerkracht is nu een compliancevereiste, en terecht. Preventie blijft essentieel, maar de grootste uitdaging is hoe organisaties het volhouden als het ergste gebeurt. Heathrow is een tastbare herinnering dat veerkracht – wanneer getest, geoefend en ingebed – net zo goed een compliancevereiste is als een beveiligingsmaatregel.

Dit is belangrijk om te overwegen op bestuursniveau, waar de verantwoordelijkheid voor zowel veerkracht als beveiliging nu ligt, benadrukt White. Ze vindt dat bedrijven "moeten definiëren welk niveau van downtime acceptabel is", hun operationele afhankelijkheden moeten begrijpen en "moeten investeren in realistische continuïteitsplanning".

Tegelijkertijd zijn regelmatige evaluaties nodig om zich aan te passen aan veranderingen in technologie, regelgeving en toeleveringsketens, zegt White. "Veerkracht moet samengaan met financiële en juridische risico's op bestuursniveau, met duidelijke rapportagelijnen en verantwoordingsplicht. Van toezichthouders en belanghebbenden wordt verwacht dat bedrijven hun paraatheid aantonen, niet alleen hun intentie. Als het bestuur het plan pas tijdens een echt incident tegenkomt, heeft de organisatie de controle over het verhaal al verloren."

Kate O'Flaherty

Kate is een journalist op het gebied van cybersecurity en privacy met meer dan tien jaar ervaring in het verslaan van onderwerpen die van belang zijn voor gebruikers, bedrijven en overheden. Naast ISMS.online is haar werk te vinden in Forbes, Wired, The Guardian, The Observer, The Times en The Economist.

Lees meer van Kate O'Flaherty

Cyber security 16 December 2025

Cyberaanvallen hebben een impact op het bbp: dit zijn de gevolgen voor bedrijven.

Nu steeds meer regelgeving een vereiste stelt voor veerkracht, hoe kan elke organisatie hieraan bijdragen? Door Kate O'Flaherty. Bedrijven in het Verenigd Koninkrijk...

Kate O'Flaherty

Cyber security 25 November 2025

De AWS-storing en het domino-effect op cyberbeveiliging

Nu het risico op uitval toeneemt, wat kunnen bedrijven doen om de negatieve gevolgen van cyberbeveiliging, zoals phishing en social engineering, te beheersen? Door Kate O'Flah...

Kate O'Flaherty

Cyber security 16 September 2025

Als ze een nucleair agentschap kunnen aanvallen, kunnen ze ook jou aanvallen: wat de SharePoint-exploit voor jouw bedrijf betekent

De SharePoint-exploit werd gebruikt tegen bekende slachtoffers, waaronder de Amerikaanse National Nuclear Security Administration, het Department of Homeland Security...

Kate O'Flaherty