De AWS-storing en het domino-effect op cyberbeveiliging

Door Kate O'Flaherty • 25 November 2025

Nu het risico op uitval toeneemt, wat kunnen bedrijven doen om de negatieve gevolgen voor de cyberbeveiliging, zoals phishing en social engineering, te beheersen?

Door Kate O'Flaherty

In oktober werd Amazon Web Services (AWS) getroffen door een van de grootste storingen in jaren. Hoewel de storing zelf grote verstoring veroorzaakte, leidde het tot waarschuwingen dat tegenstanders cyberaanvallen uitvoerden om misbruik te maken van de chaos tijdens het incident.

De afgelopen twee maanden kwamen er steeds meer storingen. Azure van Microsoft was de volgende die er een meemaakte, slechts een week na AWS. In november werd infrastructuurprovider Cloudflare vervolgens getroffen door een storing die meerdere websites en apps platlegde, waardoor aanvallers meer mogelijkheden kregen om toe te slaan.

De storing bij AWS en andere storingen sindsdien laten zien hoe verstoringen door leveranciers snel kunnen uitmonden in risico's voor klanten, zoals phishing en social engineering. Wat kunnen bedrijven doen om deze bedreiging te beheersen nu het risico op storingen toeneemt?

Aanvallers maken misbruik van verwarring

Storingen zijn aantrekkelijk voor cybercriminelen omdat ze verwarring creëren bij gebruikers en organisaties, wat ze kunnen gebruiken voor aanvallen. Voor eindgebruikers zijn storingen "desoriënterend, zonder directe oplossingen", benadrukt Richard Jones, VP Noord-Europa bij Confluent.

Deze omgeving biedt cybercriminelen de mogelijkheid om te floreren en misbruik te maken van slachtoffers en hun verlangen naar antwoorden, zegt hij. "Als je bankiert bij een organisatie die afhankelijk is van AWS voor haar app en je weet niet waarom je betaalrekening plotseling ontoegankelijk is, is de kans veel groter dat je het slachtoffer wordt van een phishing-aanval waarbij om je gegevens wordt gevraagd."

Tijdens de AWS-storing in oktober 2025 begonnen criminelen zich snel voor te doen als AWS en de getroffen diensten, door e-mails en sms'jes te sturen waarin ze beloofden de 'toegang te herstellen' of de 'downtime te compenseren', vertelt Bruce Jenkins, CISO bij Black Duck. IO.

Na een storing worden organisaties vaak geconfronteerd met frauduleuze e-mails die zogenaamd afkomstig zijn van een cloudprovider of IT-ondersteuningsteam, aldus Ross Brewer, VP van Graylog EMEA. Gebruikers worden in deze e-mails aangespoord om "hun account nu opnieuw te valideren" of "een urgente patch te downloaden" wanneer de legitieme service minder goed werkt.

Deze "op urgentie gerichte oplichtingspraktijken" maken gebruik van overtuigende branding en vervalste adressen, waarmee ze inspelen op de angsten van gebruikers en hun verlangen naar snelle oplossingen, aldus Jenkins. "Vergelijkbare patronen werden waargenomen in de periode 2021-2024. Facebook en Azuur storingen, waarbij aanvallers valse ondersteuningsberichten of prompts voor accountherstel stuurden.”

Bovendien kan de chaos van een storing verergerd worden door IT-teams, die onbedoeld de beveiliging kunnen verzwakken in de haast om de diensten te herstellen. Dit kan ertoe leiden dat ze beveiligingsmaatregelen uitschakelen of machtigingen uitbreiden, aldus Jenkins.

Zichtbaarheid van de toeleveringsketen en afhankelijkheidsbeheer

Omdat de kans op uitval toeneemt, moeten organisaties zich nu voorbereiden op het domino-effect dat kan ontstaan als een vertrouwde derde partij uitvalt.

Om te voorkomen dat aanvallers misbruik van hun gegevens maken, hebben organisaties een goed inzicht nodig in hun toeleveringsketen en cloudafhankelijkheden. Dat betekent "in kaart brengen welke services kritiek zijn, weten in welke cloudregio ze zich bevinden en eventuele single points of failure identificeren", aldus Brewer.

Het bijhouden van een bijgewerkte afhankelijkheidskaart en het uitvoeren van scenario-oefeningen, inclusief het stellen van vragen als: "Wat als ons primaire cloudplatform uitvalt?" zijn essentieel en zouden deel moeten uitmaken van de bedrijfsvoering van een organisatie. veerkrachtplan, adviseert Jenkins.

Het bouwen van redundantie, zoals multi-cloud- of multiregio-architecturen, kan risico's beperken, maar niet elke workload vereist dit, zegt Jenkins. "Contracten moeten duidelijke service level agreements (SLA's) en noodvereisten bevatten, en leveranciers moeten worden ingedeeld op basis van hun criticaliteit."

Duidelijke en tijdige communicatie

Als een dienst uitvalt en u ondervindt daar hinder van, is duidelijke en tijdige communicatie essentieel om te voorkomen dat aanvallers misbruik maken van de verwarring bij gebruikers om aanvallen uit te voeren.

Tijdens de AWS-storing leken de eerste statusupdates achter te lopen op de gebruikersrapporten. Veel zakelijke klanten vonden de informatie "schaars en generiek", aldus Jenkins. "Hoewel AWS uiteindelijk een gedetailleerde na de dood en excuses, het gebrek aan snelle, transparante updates tijdens de acute fase liet een vacuüm achter dat werd opgevuld door speculatie en phishingpogingen.”

Hoewel het een uitdaging kan zijn, is het volgens hem verstandig om problemen vroegtijdig te onderkennen, regelmatig feitelijke updates te verstrekken en veiligheidsadviezen te geven. "De transparantie van AWS na het incident werd geprezen, maar de realtime communicatie tijdens de storing had beter gekund."

Voor de cloudprovider en de klantorganisatie kan communicatie tijdens een storing echter lastig zijn vanwege de onzekerheid die ermee gepaard gaat. "Enerzijds wil je zoveel mogelijk informatie delen, maar anderzijds wil je klanten niet op het verkeerde been zetten door informatie te verstrekken die onjuist blijkt te zijn naarmate de situatie zich ontwikkelt", zegt James Kretchmar, SVP CTO van de cloudtechnologiegroep bij Akamai Technologies. "Het kan een lastig evenwicht zijn om te vinden."

Transparantie is echter cruciaal, zegt Kretchmar: "Het houdt klanten op de hoogte en verkleint de kans dat aanvallers misbruik maken van onzekerheid. Zelfs een simpele boodschap als 'we zijn op de hoogte van het probleem, dit is wat er is gebeurd en waar u geverifieerde updates kunt vinden' kan paniek voorkomen en de verspreiding van nepmeldingen tegengaan. Het doel is om regelmatig te communiceren, zelfs als u niet alle antwoorden hebt."

Goed bestuur en risicomanagement

Het AWS-incident en de daaruit voortvloeiende impact benadrukken ook de basisprincipes van goed bestuur en risicomanagement. Clouduitval stelt deze basisprincipes op de proef, zegt Jenkins. "De verantwoordelijkheid voor risico's van derden moet liggen op directie- en bestuursniveau, met een duidelijk eigenaarschap van cloudrisicostrategieën."

Volgens Jenkins zijn een sterke noodplanning en regelingen voor bedrijfscontinuïteit essentieel, waaronder expliciete plannen voor storingen bij leveranciers en regelmatige scenariotests.

Een "robuust incidentmanagementproces" zorgt voor een effectieve respons op problemen, aldus Kretchmar. Dit zou "gedefinieerde escalatiedrempels, duidelijke communicatielijnen en goed geteste draaiboeken" moeten omvatten, adviseert hij.

Regelgevende kaders zoals de Wet digitale operationele veerkracht, Netwerk- en informatiesystemen 2 en ISO 27036 kunnen helpen. Deze erkennen de risico's door sterkere operationele veerkracht en leveranciersrisicobeheer te eisen, aldus Simon Pamplin, Chief Technology Officer bij Certes. "In de kern verwachten ze continue zekerheid, noodplanning en de mogelijkheid om aan te tonen dat je bestand bent tegen een aanzienlijke verstoring door derden."

Ondertussen ISO / IEC 27001 integreert leveranciersbeveiliging, bedrijfscontinuïteit en incidentbeheer in systemen voor informatiebeveiligingsbeheer, zegt Jenkins.

Voorbereiding op toekomstige storingen

Naarmate digitale diensten steeds nauwer met elkaar verbonden raken en afhankelijk worden van grote cloudproviders, zullen storingen onvermijdelijk blijven. Dit betekent dat aanvallers steeds vaker misbruik zullen maken van momenten van systeemuitval, aldus Brewer.

Rekening houdend hiermee moeten IT-leiders afhankelijkheden in kaart brengen, redundantie creëren voor kritieke services en regelmatig noodplannen oefenen, aldus Jenkins. "Crisiscommunicatieplannen moeten klaarliggen, met duidelijke berichtensjablonen en out-of-band-kanalen. Monitoring moet gebruikmaken van meerdere bronnen en leverancierscontracten moeten toezeggingen over de veerkracht bevatten."

Tegelijkertijd mag beveiliging niet ten koste gaan van snelheid tijdens storingen, waarschuwt Jenkins. "Zorg ervoor dat noodwijzigingen worden geregistreerd en beoordeeld. Gebruikersvoorlichting moet aandacht besteden aan oplichting door storingen, en analyse na incidenten moet continue verbetering stimuleren."

Kate O'Flaherty

Kate is een journalist op het gebied van cybersecurity en privacy met meer dan tien jaar ervaring in het verslaan van onderwerpen die van belang zijn voor gebruikers, bedrijven en overheden. Naast ISMS.online is haar werk te vinden in Forbes, Wired, The Guardian, The Observer, The Times en The Economist.

Lees meer van Kate O'Flaherty

Cyber security 16 December 2025

Cyberaanvallen hebben een impact op het bbp: dit zijn de gevolgen voor bedrijven.

Nu steeds meer regelgeving een vereiste stelt voor veerkracht, hoe kan elke organisatie hieraan bijdragen? Door Kate O'Flaherty. Bedrijven in het Verenigd Koninkrijk...

Kate O'Flaherty

Cyber security 30 oktober 2025

Heathrow cyberincidentlessen in veerkracht en incidentresponsbanner

Cyberincident op Heathrow: lessen in veerkracht en incidentrespons

Nu toezichthouders veerkracht in bedrijfsactiviteiten eisen, wat kunnen anderen leren van de cyberaanval op een leverancier die gevolgen had voor Heathrow en zijn werknemers?

Kate O'Flaherty

Cyber security 16 September 2025

Als ze een nucleair agentschap kunnen aanvallen, kunnen ze ook jou aanvallen: wat de SharePoint-exploit voor jouw bedrijf betekent

De SharePoint-exploit werd gebruikt tegen bekende slachtoffers, waaronder de Amerikaanse National Nuclear Security Administration, het Department of Homeland Security...

Kate O'Flaherty