Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Door Nicholas Fearn • 4 September 2025

Een recent datalek bij Qantas, waarbij de persoonlijke gegevens van 5.7 miljoen klanten in gevaar kwamen, heeft het voortdurende cyberbeveiligingsrisico blootgelegd dat externe dienstverleners voor bedrijven vormen. Het incident, dat in juni plaatsvond, legde gegevens bloot zoals namen, geboortedata, telefoonnummers, e-mailadressen en informatie van klantenaccounts bij het Qantas Frequent Flyer-loyaliteitsprogramma. Financiële gegevens, paspoortgegevens en wachtwoorden werden echter niet getroffen.

Maar in plaats van de interne IT-systemen van de Australische luchtvaartmaatschappij te hacken, stalen de daders deze informatie door een extern, offshore contactcenter te misleiden en te laten denken dat ze Qantas-medewerkers waren die de multifactorauthenticatiegegevens opnieuw moesten instellen. Nadat deze cruciale beveiligingsinformatie was gewijzigd, kregen de hackers ongeautoriseerde toegang tot een extern cloudplatform met Qantas-klantendatabases.

Er wordt aangenomen dat de cybercrimegroep Scattered Spider, waarvan de hackers verspreid zijn over de VS en het VK, achter de hack zat. De FBI heeft sindsdien waarschuwde dat de groep steeds vaker social engineering-aanvallen uitvoert op wereldwijde luchtvaartmaatschappijen. Dit blijkt uit onderzoek van cyberverzekeraar Cowbell dat aanvallen op de software-toeleveringsketen... meer met 431% in de afgelopen vier jaar. Wat kunnen bedrijven, met dit in gedachten, doen om hun toeleveringsketens te beveiligen en incidenten zoals de Qantas-inbraak te voorkomen?

Belangrijke lessen om te leren

Een van de belangrijkste lessen van de cyberaanval bij Qantas is dat multifactorauthenticatie weliswaar is ontworpen als een extra beveiligingslaag, waardoor het voor cybercriminelen moeilijker wordt om accounts te hacken, maar dat het niet volledig ondoordringbaar is. Dat zegt Jake Moore, wereldwijd cybersecurityadviseur bij antivirusfabrikant ESET, die stelt dat kwaadwillende mensen "zelfs de beste verdediging" kunnen hacken.

Een tweede les die Moore ons leert, is dat bedrijven zich moeten realiseren dat hun toeleveringsketens ‘onvermijdelijke zwakheden’ bevatten die hackers gemakkelijk kunnen uitbuiten, zoals het simpelweg imiteren van echte werknemers, en die ‘veel schade kunnen toebrengen’.

Vijay Dilwale, principal consultant bij applicatiebeveiligingssoftwareleverancier Black Duck, is het hiermee eens. Hij stelt dat zelfs als bedrijven over robuuste cyberbeveiliging beschikken, deze in wezen nutteloos is als de leveranciers waarop ze vertrouwen niet evenveel aandacht besteden aan cyberbeveiliging. Hij vertelt ISMS.online: "De kernsystemen van Qantas zijn niet gehackt, maar miljoenen records zijn toch in verkeerde handen terechtgekomen door een lek bij een derde partij."

Wanneer persoonlijke informatie op deze manier wordt geschonden, kan dit volgens Dilwale "ernstige" gevolgen hebben voor bedrijven. Denk hierbij aan een verminderd vertrouwen van klanten, boetes van toezichthouders en nieuwsartikelen die zowel het bedrijf als de leverancier de schuld geven, zelfs als de eerste niet de schuldige is. Hij voegt eraan toe: "In de digitale wereld van vandaag bestaat de traditionele perimeter niet echt. Elke leverancier, elke outsourcer, elk SaaS-platform maakt deel uit van je aanvalsoppervlak."

Implicaties voor naleving

Aangezien verbeterde cyberbeveiliging, zoals MFA, op zichzelf niet voldoende is om organisaties te beschermen tegen verwoestende datalekken, terwijl het aantal aanvallen op de toeleveringsketen blijft toenemen, moeten organisaties duidelijk meer doen.

Voor Dilwale van Black Duck betekent dit dat leveranciersrisicobeoordeling een doorlopende oefening is in plaats van een eenmalige activiteit bij het onboarden van nieuwe leveranciers. Naast het zorgvuldig screenen van externe dienstverleners, moeten organisaties volgens hem continu de cyberrisico's die leveranciers vormen in de gaten houden en in formele contracten vastleggen dat leveranciers cybersecurity serieus nemen. Organisaties zouden leveranciers hierbij moeten laten instemmen met cybersecurityaudits en incidentmeldingen.

Maar deze inspanningen gaan niet alleen over gezichtsbescherming – ze zijn ook een wettelijke verplichting. Dilwale legt uit dat bedrijven in Australië volgens de Australische privacyprincipes elke vorm van cyberinbreuk moeten melden. Industriestandaarden zoals ISO 27001 onderstrepen ondertussen het belang van risicomanagement in de toeleveringsketen. Hij voegt eraan toe: "De boodschap is duidelijk: toezicht op je leveranciers is niet langer optioneel."

Om deze risico's te beheersen, raadt Dilwale organisaties aan een Information Security Management System (ISMS) te implementeren. Daarmee kunnen ze kwetsbaarheden in de toeleveringsketen in kaart brengen en identificeren in elke fase van de leveranciersrelatie, van onboarding tot offboarding.

"Je kunt ervoor zorgen dat audits niet alleen worden gepland, maar ook daadwerkelijk worden opgevolgd met herstelmaatregelen. Je kunt een compleet beeld schetsen van je uitgebreide toeleveringsketen, zodat je die verbindingen met derde partijen niet over het hoofd ziet", zegt hij. "En je kunt leveranciers betrekken bij je incidentresponsoefeningen, zodat je, als er iets misgaat, al weet hoe je samen moet reageren."

Naast het gebruik van een ISMS, Michael Tigges, senior security operations analist bij het enterprise cybersecurity platform jagerindringt er bij organisaties op aan om specifieke kaders te ontwikkelen op basis van normen zoals ISO 27001, hun leveranciers regelmatig te controleren en te auditen als onderdeel van ‘duidelijke’ service level agreements, transparant te zijn over de verplaatsing van gegevens en te investeren in detectie- en responssystemen.

Andere stappen

Volgens Tigges van Huntress zijn leveranciersgezondheidscontroles een andere cruciale stap in het elimineren van beveiligingsrisico's in de toeleveringsketen. Ze zouden aandacht moeten besteden aan zaken als adequate toegangscontrole, multifactorauthenticatie, incidentlogs en incidentsimulaties.

Als onderdeel van deze inspanningen moedigt hij bedrijven aan om simulaties van cybersecurity uit te voeren, waarbij ze een realistische cyberaanval ondergaan en beoordelen hoe hun team reageert, om beveiligingslekken te identificeren en te dichten. Ook externe leveranciers kunnen hierbij betrokken worden.

Tigges benadrukt ook het belang van effectief stakeholdermanagement. Hij vertelt ISMS.online: "Begin met realistische gesprekken; wat hopen we hier te bereiken, welke risico's kunnen we tolereren en waar kunnen we onze verdediging op andere manieren versterken om die risico's te beperken?"

Ross Brewer, vicepresident EMEA bij Graylog, een bedrijf voor logbeheer en beveiligingsanalyses, is het ermee eens dat organisaties risico's in de toeleveringsketen moeten meenemen in hun cybersecurityoefeningen. Dit stelt hen in staat om de procedures voor detectie, escalatie en respons binnen hun organisatie te testen.

Volgende halte: Spa

Nu cyberaanvallen op de toeleveringsketen geen tekenen van afname vertonen, gelooft Moore van ESET dat organisaties geen andere keuze hebben dan leveranciersbeveiligingsbeoordelingen een essentieel onderdeel van hun governance te maken. Dit betekent dat externe leveranciers "als een verlengstuk van de organisatie" moeten worden behandeld met "dezelfde verantwoordelijkheid" om te overleven in een snel veranderend regelgevingslandschap.

Omdat zoveel bedrijven nu verschillende onderdelen van hun organisatie uitbesteden aan externe leveranciers, zegt Dilwale van Black Duck dat ze de beveiligingshouding van leveranciers met evenveel belang moeten beschouwen als hun eigen houding. Hij vervolgt: "Beveiliging van de toeleveringsketen kan niet als een bijzaak worden toegevoegd; het moet in de governance worden ingebouwd, aangezien verantwoording en naleving essentiële vereisten zijn voor het zakendoen."

Op de lange termijn zullen bedrijven en hun leveranciers volgens Tigges van Hunttress "transparant en samenhangend" moeten zijn in hun cybersecurity- en databeheerpraktijken, vanwege de gevoeligheid van de gedeelde informatie. Hij concludeert: "De reputatie van de organisatie en individuele gegevens staan op het spel, en alle personen die met die gegevens omgaan, zijn belanghebbenden in dit proces."

Hoewel de cyberinbreuk bij Qantas niet te wijten was aan nalatigheid op het gebied van cyberbeveiliging van de Australische luchtvaartmaatschappij, had het incident voorkomen kunnen worden als de luchtvaartmaatschappij strengere beveiligingsmaatregelen voor de toeleveringsketen had genomen. Voor andere organisaties biedt het een waardevolle les: de veiligheid van hun leveranciers is net zo belangrijk als die van henzelf. Dit zou versterkt moeten worden door middel van uitgebreide leverancierscontracten, regelmatige gezondheidscontroles van de toeleveringsketen en cybersecurityoefeningen die rekening houden met beveiligingsrisico's voor de toeleveringsketen.

Nicholas Fearn

Nicholas Fearn is een freelance journalist uit de Welsh Valleys. Hij heeft geschreven voor grote media als de Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, maar ook voor B2B-publicaties als Computer Weekly, Computing en IT Pro. Als Nic niet over de nieuwste gadgets en technologische trends schrijft, luistert hij waarschijnlijk naar de hele discografie van Mariah Carey.

Lees meer van Nicholas Fearn

Cyber security 27 November 2025

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Cyberinbreuken richten grote schade aan bij bedrijven. Ze kunnen de bedrijfsvoering lamleggen, de schatkist leegtrekken en het vertrouwen van klanten ondermijnen. Vaak...

Nicholas Fearn

Cyber security 16 July 2025

Wat hogere defensie-uitgaven betekenen voor de cybersecuritysector

Terwijl de geopolitieke spanningen wereldwijd blijven toenemen, hebben we in 2025 een dramatische stijging van de defensie-uitgaven gezien die we sinds de Koude Oorlog niet meer hebben gezien.

Nicholas Fearn

Cyber security 10 juni 2025

Waarom toezichthouders de voorkeur geven aan een geconvergeerde aanpak van cyberweerbaarheid

Waarom toezichthouders de voorkeur geven aan een geconvergeerde aanpak van cyberveerkracht

Terwijl het digitale ecosysteem exponentieel groeit en cybercriminelen proberen beveiligingslekken hierin te misbruiken, blijven toezichthouders druk uitoefenen op...

Nicholas Fearn

Datalek bij Qantas: waarom leverancierstoezicht een prioriteit moet zijn bij naleving

Belangrijke lessen om te leren

Implicaties voor naleving

Andere stappen

Volgende halte: Spa

Nicholas Fearn

Gerelateerde artikelen

Rapport over de stand van zaken op het gebied van informatiebeveiliging: 11 belangrijke statistieken en trends voor de reis- en transportsector

State of Information Security Report: 11 belangrijke statistieken en trends voor de IT- en MSP-sector

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Lees meer van Nicholas Fearn

Hoe grootschalige cyberincidenten de werkelijke impact van kwetsbaarheden in de toeleveringsketen op het bedrijfsleven aantonen

Wat hogere defensie-uitgaven betekenen voor de cybersecuritysector

Waarom toezichthouders de voorkeur geven aan een geconvergeerde aanpak van cyberveerkracht