Wat te doen als je leverancier wordt gehackt?

De recente hack bij ChipSoft (leverancier van EPD-software) laat opnieuw zien hoe kwetsbaar organisaties zijn via hun digitale keten. Zorginstellingen, zoals ziekenhuizen en huisartsenpraktijken moesten halsoverkop crisisoverleggen organiseren om te bepalen wat er moet gebeuren. Hoewel dit incident zich afspeelt in de zorg, zijn de lessen relevant voor iedere organisatie die afhankelijk is van kritieke leveranciers of SaaS-diensten. Het incident toont een harde realiteit: ook als je je eigen security op orde hebt, blijf je kwetsbaar via je leveranciers. De vraag is dan: wat moet je doen op het moment dat een leverancier wordt gehackt? We zetten de belangrijkste stappen voor je op een rij.

Stap 1: Handel meteen – tijd is cruciaal

Op het moment dat een (mogelijke) hack bekend wordt, is snelheid essentieel. In het geval van ChipSoft kregen zorginstellingen direct het advies om VPN-verbindingen te verbreken. Dat is geen overreactie, maar een verstandig eerste verdedigingsmaatregel.

Als er geen procedure is of geoefend op dit scenario, probeer zo snel mogelijk duiding te krijgen bij de leverancier wat de mitigerende maatregelen zijn om verdere risico’s te beperken. Mocht de leverancier slecht bereikbaar zijn of onvoldoende antwoord kunnen geven, ga dan uit van een worst-case scenario totdat het tegendeel is aangetoond.

Zolang er een actieve koppeling of toegang bestaat met jouw omgeving en die van de leverancier, bestaat het risico dat een aanval lateraal overslaat naar je eigen omgeving. Wacht dus niet af tot er absolute zekerheid is over de aard van de aanval.

Stap 2: Stel je data veilig om operationeel te blijven

Zodra een leverancier is gehackt, verschuift de focus van preventie naar reactie:

Hoe zorgen we dat onze organisatie kan blijven functioneren, zonder het risico te vergroten?

Om regie te houden is het essentieel dat je je data bewust veiligstelt:

• Welke data moet beschikbaar blijven, voor de primaire processen?
• Is het mogelijk of noodzakelijk om de data te isoleren of veilig te exporteren?
• Kun je tijdelijk lokaal werken met een “bevroren” dataset?

Parallel hieraan kun je technische maatregelen nemen om risico’s te beperken:

• Verbreek/beperk koppelingen en toegang van de geleverde dienst.
• Monitor netwerkverkeer actief op verdachte activiteiten.

Stap 3: Continuïteit boven comfort

Een leverancier kan een cruciale rol spelen in dagelijkse processen, maar bij een incident moet je voorbereid zijn om tijdelijk zonder (delen van) die dienstverlening te werken.

Zorg dus dat je in kaart hebt:

• welke processen en data noodzakelijk zijn,
• welke systemen tijdelijk uitgeschakeld kunnen worden,
• en welke gevolgen dat heeft op de operatie.

Stap 4: Vertrouw niet blind op ‘het is weer veilig’

Op een gegeven moment zal een leverancier melden dat systemen weer veilig zijn. Dat moment vraagt misschien wel de meeste discipline. De verleiding is groot om snel alles weer ‘aan te zetten’, maar blind vertrouwen is een risico. Vaak is een uitgebreid onderzoek nodig om te weten wat er precies is geraakt en of er data is ingezien.

Een zorgvuldige aanpak voor je eigen organisatie:

• Gebruik als input het (forensisch) rapport van de leverancier en advies van de autoriteiten, zoals het Nationaal Cyber Security Centrum (NCSC), en vertaal dit naar risico’s en maatregelen voor jouw organisatie.
• Krijg zicht op de gevolgen van het herstellen van koppelingen (bijvoorbeeld technische synchronisatie problemen).
• Zet de software eerst in quarantaine of beperk de toegang om gecontroleerd te testen.
• Controleer op het functioneren van de geleverde dienst en afwijkingen.

Pas als je zelf hebt vastgesteld dat het veilig is, ga je weer volledig live.

Zorg dat je voorbereid bent

Een leverancier kan herstellen, maar de verantwoordelijkheid voor continuïteit en risico’s ligt uiteindelijk bij je eigen organisatie. Juist daarom moeten dit soort scenario’s niet alleen technisch maar ook bestuurlijk worden voorbereid en geoefend worden.