De afgelopen jaren hebben we een scala aan spraakmakende cyberincidenten gezien, van aanvallen op de toeleveringsketen tot zero-day-kwetsbaarheden, ransomware en deepfakes. Criminelen ontwikkelen steeds meer pogingen om toegang te krijgen tot bedrijfsnetwerken, gevoelige gegevens te stelen en organisaties op te lichten.
In deze speciale Halloween-blog deelt het IO-bestuursteam de incidenten die hen rillingen over de rug bezorgden.
Kido Schools – Aanval op de toeleveringsketen
Onze CFO, Jon Orpen, zegt:
In september kregen hackers toegang tot de gegevens van duizenden kinderen bij een kinderdagverblijfketen, Kido ScholenAanvankelijk kregen ze toegang tot de informatie via de software voor kinderopvangbeheer, Famly. De aanvallers publiceerden profielen van 20 kinderen online en dreigden er meer te publiceren tenzij ze in Bitcoin werden betaald. Ze bedreigden ouders ook rechtstreeks via de telefoon. Ik heb jonge kinderen en heb ervaring met het 'crèchesysteem', dus deze aanval sprak me erg aan.
Kort nadat de bedreigingen waren geuit, ontstond er een enorme publieke verontwaardiging. De aanvallers verwijderden de berichten en beweerden de informatie te hebben verwijderd. De aanval werd veroordeeld als een 'nieuw dieptepunt' voor cybercriminelen. De aanval laat echter zien dat cybercriminelen willekeurig te werk gaan in hun aanvallen en zelfs bereid zijn om kinderen als doelwit te kiezen om hun doelen te bereiken.
De cyberaanval op Kido Schools is slechts één van de vele recente, spraakmakende aanvallen waarbij cybercriminelen zich op leveranciers richtten om toegang te krijgen tot gevoelige gegevens van organisaties. Rapport Staat van Informatiebeveiliging 2025 Uit een onderzoek is gebleken dat drie op de vijf (61%) van de respondenten te maken had gehad met een incident op het gebied van cyberbeveiliging of informatiebeveiliging dat was veroorzaakt door een externe leverancier of partner in de toeleveringsketen, en dat meer dan een kwart (27%) hier meer dan eens mee te maken had gehad.
Het is essentieel om de informatiebeveiligingsmaatregelen die uw leveranciers hebben genomen, te herzien in het huidige dreigingslandschap.
Oracle E-Business Suite – Zero-Day-kwetsbaarheid
Onze CPO, Sam Peters, zegt:
Oracle heeft onlangs een kwetsbaarheid in de E-Business Suite gepatcht, CVE-2025-61884, die mogelijk door cybercriminelen is gebruikt om gevoelige bedrijfsgegevens van meerdere bedrijven te exfiltreren. Een update van Oracle beschreef de kwetsbaarheid als "op afstand te exploiteren zonder authenticatie, d.w.z. dat deze via een netwerk kan worden geëxploiteerd zonder dat een gebruikersnaam en wachtwoord nodig zijn. Indien succesvol geëxploiteerd, kan deze kwetsbaarheid toegang geven tot gevoelige bronnen."
Het bedrijf benadrukt dat het klanten aanraadt om op actief ondersteunde versies te blijven en beveiligingswaarschuwingen en kritieke patchupdates direct toe te passen.
Hoewel zero-day-aanvallen van nature onvoorspelbaar zijn, kunnen bedrijven hun verdediging versterken door ervoor te zorgen dat de software up-to-date is, patches zijn geïnstalleerd en door een allesomvattende aanpak van risicobeheer te hanteren. De ISO 27001-normbiedt bijvoorbeeld een raamwerk dat bedrijven ondersteunt bij het opzetten en onderhouden van een robuust informatiebeveiligingsbeheersysteem en het versterken van de operationele veerkracht in geval van een aanval.
Door de uitgebreide, weloverwogen incidentrespons- en bedrijfscontinuïteitsplannen te implementeren die vereist zijn voor ISO 27001-naleving, kunnen organisaties snel reageren op zero-day-exploits en de schade tot een minimum beperken.
Marks & Spencer – Supply Chain en ransomware-aanval
Onze CEO, Chris Newton-Smith, zegt:
Een aanval op Britse retailgigant Marks & Spencer (M&S) haalde in april van dit jaar het nieuws. Criminelen verzamelden klantgegevens en plaatsten ransomware die de IT-systemen van het bedrijf en de online- en fysieke activiteiten verstoorde, wat leidde tot een geschat financieel verlies van £ 700 miljoen.
De aanvallers zouden social engineering hebben gebruikt en een ICT-leverancier van M&S hebben aangevallen om toegang te krijgen. Ze deden zich voor als een medewerker van M&S en overtuigden de externe leverancier om het wachtwoord van een interne gebruiker te resetten. Nadat ze toegang tot het netwerk hadden gekregen, verzamelden ze ook gevoelige klantgegevens voordat ze de ransomware gebruikten om de systemen van M&S te versleutelen.
Het bedrijf sloot snel de online bestelsystemen en schortte contactloze betalingen op om verdere schade te voorkomen. De fysieke verkoop werd teruggebracht naar handmatige processen. Ook werden wetshandhavingsinstanties ingeschakeld, externe cybersecurityexperts ingeschakeld en het incident en de aanhoudende impact met klanten gecommuniceerd. Hoewel sommige rapporten kritiek uitten op het ontbreken van bedrijfscontinuïteitsplannen en incidentresponsplannen, is het duidelijk dat M&S onmiddellijk maatregelen heeft genomen om verdere risico's te beperken.
Deze aanval op meerdere niveaus toont aan hoe belangrijk het is voor bedrijven om voortdurend risicomanagement door derden uit te voeren. Het benadrukt ook de noodzaak van netwerksegmentatie om de omvang van de schade die kan worden aangericht in geval van een aanval te beperken.
Ook hier kan ISO 27001 organisaties ondersteunen. Naleving en certificering volgens de norm vereisen dat organisaties de nodige beveiligingsmaatregelen beoordelen en implementeren, waaronder regelmatige back-ups, informatiebeveiligingsmaatregelen die worden geïmplementeerd als onderdeel van bredere bedrijfscontinuïteitsplannen, en uitvoerbare stappen om incidenten te identificeren, beoordelen, erop te reageren en te beheren.
Arup – AI Deepfake
Onze CMO, Dave Holloway, zegt:
Dit jaar is de Rapport over de staat van de informatiebeveiliging toont een daling in deepfake-incidenten ten opzichte van ons rapport uit 2024 (20% versus 30%), maar AI-gedreven dreigingen staan nog steeds hoog op de agenda bij organisaties. Een opvallende en uiterst geavanceerde deepfake-aanval vorig jaar zorgde ervoor dat ingenieursbureau Arup $ 25 miljoen verloor aan cybercriminelen.
Naar verluidt werd een medewerker van Arup gemanipuleerd om de transactie te verrichten toen de daders zich tijdens een nep-videoconferentie voordeden als leidinggevenden van het bedrijf. De medewerker vermoedde aanvankelijk dat hij een phishingmail had ontvangen, omdat daarin de noodzaak van een transactie werd vermeld. Aanvallers gebruikten echter door AI gegenereerde deepfakes om zich voor te doen als leidinggevenden, wat de medewerker overtuigde van de legitimiteit van het gesprek; vervolgens voerden ze de transacties uit.
In een interview met het Wereld Economisch ForumDe CIO van Arup, Rob Grieg, beschreef het incident als “technologisch ondersteunde social engineering” en vermoedt dat “dit vaker gebeurt dan veel mensen zich realiseren.”
Het bestrijden van AI-gedreven bedreigingen vormt een voortdurende en evoluerende uitdaging voor bedrijven. Training van medewerkers kan ervoor zorgen dat medewerkers zich bewust zijn van de rode vlaggen waar ze op moeten letten, en rolgebaseerde toegangscontroles zorgen ervoor dat alleen specifieke medewerkers toegang hebben tot specifieke netwerken of vertrouwelijke informatie, zoals financiële informatie. Een robuust en goed geoefend incidentresponsplan is echter nog steeds essentieel voor het geval een aanval succesvol is.
Salesforce – Ransomware-aanval
Onze CRO, Ross Down, zegt:
De aanval op CRM-provider Salesforce volgt een vergelijkbaar patroon als de aanval op M&S. Hackers richtten zich op werknemers en apps van derden om toegang te krijgen tot de netwerken van het bedrijf. Naar verluidt hebben ze de integratie van derden, Salesloft Drift, gecompromitteerd door gestolen OAuth-tokens te gebruiken om ongeautoriseerde toegang te verkrijgen.
Nadat ze eenmaal toegang hadden gekregen, konden de cybercriminelen aanzienlijke hoeveelheden gevoelige gegevens exporteren. Ze claimen dat ze bijna een miljard records van tientallen Salesforce-klanten hebben gestolen, waaronder Fujifilm, Qantas, The Gap en meer.
De groep eiste losgeld van Salesforce, maar gaf ook opdracht tot het betalen van losgeld aan de getroffen klanten en begon gegevens van slachtoffers online te lekken. Salesforce weigerde echter het losgeld te betalen en er is geen bewijs dat een van de slachtoffers losgeld heeft betaald. In plaats daarvan heeft Salesforce inmiddels de verbinding van Drift met zijn systemen uitgeschakeld.
Op het moment van schrijven is het incident nog steeds gaande en dreigen aanvallers nog meer Salesforce-klantgegevens te lekken. Dit incident herinnert ons opnieuw aan het belang van risicomanagement door derden, bedrijfscontinuïteitsplanning en incidentresponsplanning om de impact van een aanval te verminderen en te beperken.
Het goede nieuws is dat organisaties zich voorbereiden op deze eventualiteiten. 80% van de respondenten op ons State of Information Security Report 2025 gaf aan dat ze hun paraatheid bij incidentrespons en herstelcapaciteiten hebben verbeterd, terwijl 18% van plan is dit in de komende 12 maanden te doen.
Risicomanagement: proactiviteit is de sleutel
Naarmate AI zich ontwikkelt, toeleveringsketens groeien en het aanvalsoppervlak groter wordt, zullen cyberaanvallen zoals de incidenten die het directieteam van IO heeft aangekaart, alleen maar complexer en geavanceerder worden. Implementatie van best practice-normen zoals ISO 27001 voor informatiebeveiligingsbeheer en ISO 42001 Met AI-beheer kunnen organisaties cyberrisico's beperken en de identificatie van en reactie op incidenten verbeteren.
Klaar om aan de slag te gaan? Onze Cyberhygiëne Checklist biedt tien best practices die bedrijven kunnen implementeren om hun cyberdefensie te versterken.
