Wanneer oude systemen falen: lessen uit de inbreuk door federale rechtbanken

Wanneer oude systemen falen: lessen uit de inbreuk op de federale rechtbanken

Door Danny Bradbury • 23 September 2025

Cyberaanvallen vinden dagelijks plaats, maar sommige zijn bijzonder huiveringwekkend. Een aanval deze zomer op het Amerikaanse rechtssysteem had iedereen de rillingen moeten bezorgen.

Op 7 augustus hebben ambtenaren bevestigd Een aanval op de federale rechterlijke macht van de Verenigde Staten. De aanvallers hadden het met name gemunt op het gerechtelijke archiveringssysteem Case Management/Electronic Case Files (CM/ECF), ook bekend onder de publieksgerichte interface PACER. De New York Times meldde dat de aanval, die plaatsvond tussen eind juni en begin juli van dit jaar, waarschijnlijk verband hield met Russische staatsactoren.

De gevolgen zijn aanzienlijk. Hoewel veel dossiers van CM/ECF openbaar toegankelijk zijn via PACER, zijn veel andere verzegeld omdat ze gevoelige informatie bevatten. De aanvallers leken op zoek te zijn naar zaken waarbij Russische staatsburgers betrokken waren.

Het incident bracht de rechtbanken in rep en roer en ze moesten terug naar papieren archiveringssystemen. Ten minste één rechter verbood zelfs het uploaden van verzegelde documenten naar PACER. Gevoelige zaken moesten worden overgezet naar zelfstandige systemen.

Nog zorgelijker is de suggestie dat Mexicaanse drugskartels zou toegang kunnen hebben tot Sommige van deze gevoelige gegevens kunnen getuigen van hun misdaden blootstellen. Bendecriminaliteit die verband houdt met de kartels wordt vaak verwerkt op het niveau van de districtsrechtbank, wat betekent dat gevoelige dossiers zich in CM/ECF bevinden.

Het ergste is dat een combinatie van gedecentraliseerde implementatie en oude, verouderde code de oorzaak is.

CM/ECF dateert uit de late jaren negentig, toen het Northern District van Ohio het gebouwd om een stortvloed aan bevindingen in sommige asbestzaken te beheren. Vervolgens begonnen andere rechtbanken het begin jaren 2000 over te nemen, toen faillissements-, districts- en beroepsrechtbanken het na een landelijke uitrol ook implementeerden. Tegen 2007 was de invoering grotendeels universeel, maar het beheer verliep gefragmenteerd; elke rechtbank verzorgde de eigen implementatie van de software. Dus toen het Administrative Office of the US Courts in de jaren 2010 een grote herziening uitbracht, bekend als NexGen, heeft niet iedereen de software bijgewerkt.

In een 2021 verslag Medewerkers van het Administratiekantoor klaagden over het systeem dat meer dan 50 rechtbanken niet waren overgestapt op het nieuwe systeem. Het rapport betreurde de verouderde basistechnologie. "Decentralisatie en complexiteit veroorzaken systeeminstabiliteit, hoge onderhoudskosten en beveiligingsrisico's", waarschuwde het rapport. "De huidige contracten maken het moeilijk om aannemers verantwoordelijk te houden voor kwaliteitsnormen."

Het probleem is aanhoudend en de gevolgen zijn rampzalig. Ook het ministerie van Justitie gerapporteerd een inbreuk in 2021, waarbij later bleek dat drie buitenlandse partijen betrokken waren.

Het probleem van verouderde software

Dit probleem met verouderde software is wijdverbreid. klanttevredenheid Dit jaar onthulde Saritasa, softwarebedrijf voor migratie naar oudere systemen, dat 62% van de 500 respondenten nog steeds afhankelijk was van oudere systemen. IT moet altijd met andere afdelingen concurreren om een deel van het budget. Wanneer de technologen het voor elkaar krijgen, moeten ze ervoor zorgen dat ze de balans vinden tussen het afbetalen van technische schulden en het doorvoeren van nieuwe software- en hardwareverbeteringen die de sponsors tevreden stellen. Elke dollar die wordt uitgegeven aan het repareren van oude systemen moet uit de portemonnee van het bedrijf worden gehaald.

Gedecentraliseerd IT-beheer creëert ook blinde vlekken, vooral wanneer het gekoppeld is aan legacy-software. Het zorgt ervoor dat veel softwareproducten geen patches meer hebben. Het maakt het ook moeilijker om te begrijpen wat er op de IT-infrastructuur draait en dit te koppelen aan beveiligingsbeleid. Schaduw-IT is het gevolg en brengt nog meer risico's met zich mee.

Het federale rechtssysteem is niet het enige dat met dergelijke problemen kampt. In 2019 publiceerde de Government Accountability Office (GAO) een rapport waarin werd gewezen op een aanhoudend gebrek aan aandacht voor verouderde systemen binnen de Amerikaanse overheid. In het Verenigd Koninkrijk heeft de overheid classificeert 28% van de IT-infrastructuur is verouderd, in sommige gebieden loopt dit op tot 70%.

Het temmen van het legacy-beest

Er zijn manieren om de controle over uw IT-infrastructuur terug te krijgen en op zijn minst de risico's van verouderde architecturen te begrijpen, zelfs als u deze niet volledig kunt uitbannen. Hierbij komt een informatiebeveiligingsmanagementsysteem (ISMS) zoals ISO 27001 van pas.

ISO 27001:2022 Bijlage A, Beheersregel 5.9, behandelt het beheer van informatiemiddelen. Het zorgt ervoor dat de organisatie correct documenteert wie verantwoordelijk is voor elk middel binnen de organisatie en schetst de bijbehorende risico's. Het vereist een inventarisatie van middelen ter ondersteuning van dit doel en creëert een platform voor bedrijven om hun activiteiten hierop te organiseren. U kunt bijvoorbeeld de huidige patchniveaus van elk middel documenteren.

Deze inventarisatie van activa vormt een uitstekende basis voor het lanceren van een programma voor het aflossen van technische schulden. Door systemen te prioriteren die gepatcht, geüpgraded of vervangen moeten worden op basis van hun risicofactor, krijgen teams met beperkte middelen een duidelijk actieplan. Je kunt het ook gebruiken om governancestructuren te creëren voor die platforms die niet direct met klanten te maken hebben, maar die wel waardevolle, onopvallende informatie bevatten. Die slecht beschermde kroonjuwelen zijn precies de activa waar aanvallers het op gemunt hebben.

Dan volgt de discussie over migratie, waarin wordt geschetst hoe je van een verouderd systeem naar een nieuw systeem migreert. Dat vereist zorgvuldige overwegingen, rekening houdend met systeemafhankelijkheden. Refactoring (het vernieuwen van code in het bestaande systeem) is een optie, net als vervanging (het systeem volledig verwijderen en opnieuw beginnen). Deze laatste optie biedt meer mogelijkheden om over te stappen van problematische architecturen zoals monolithische systemen naar meer modulaire, op microservices gebaseerde code.

Andere maatregelen om met verouderde risico's om te gaan, zijn onder meer het regelmatig uitvoeren van threat modeling-oefeningen om de onzichtbare verouderde infrastructuur te verkennen waar niemand ooit naar kijkt, zoals interne portals of contractplatforms.

Het op orde brengen van uw oude architectuur is niet iets wat u tot morgen moet uitstellen. Het is net als uw fysieke gezondheid. Elke dag uitstellen kan in de toekomst problemen veroorzaken. Een kleine inspanning nu – zelfs een kleine, regelmatige maandelijkse inspanning om te moderniseren – kan een ramp in de toekomst voorkomen. Vraag het maar aan een willekeurige kantonrechter.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 15 januari 2026

Van perimeterbeveiliging naar identiteit als beveiliging.

Je kunt tegenwoordig geen beveiligingsevenement bekijken zonder de term 'zero trust' tegen te komen. Het is inderdaad een modewoord, maar...

Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury