LNER maant tot voorzichtigheid nadat cyberaanval passagiersgegevens blootlegt

De London North Eastern Railway (LNER), eigendom van en beheerd door de Britse overheid, heeft bevestigd dat klantgegevens zijn blootgelegd bij een cyberaanval die is teruggevoerd naar een externe leverancier. Hoewel er geen betalingsgegevens of wachtwoorden zijn buitgemaakt, heeft het incident bezorgdheid gewekt over de beveiliging van gegevens in de spoorwegsector.

De exploitant van expresdiensten voor passagiers op de prestigieuze East Coast Main Line (de route van de Flying Scotsman) had gehoopt vandaag recordontvangsten voor passagiers te kunnen aankondigen, maar in plaats daarvan wordt er gevochten tegen een cyberaanval. De exploitant benadrukte dat de treindiensten en kaartverkoopsystemen niet zijn aangetast. Het bedrijf heeft er echter bij passagiers op aangedrongen om waakzaam te zijn voor verdachte e-mails of telefoontjes in de nasleep van de inbraak, die namen, contactgegevens en reisgeschiedenis bevatte.

Inbreuk via leverancierssysteem

Volgens LNER werd het incident ontdekt na ongeautoriseerde toegang tot bestanden van een externe leverancier. De spoorweg werkt nu samen met cyberbeveiligingsdeskundigen om vast te stellen hoe de gegevens zijn gecompromitteerd en hoe groot de blootstelling is geweest. Het incident komt op een moment dat Groot-Brittannië zich opmaakt voor een rollend renationalisatieprogramma dat uiteindelijk alle passagiersvervoer weer in handen van de overheid zal brengen. LNER wordt al rechtstreeks gerund door de overheid, onder het regime van de “Operator of Last Resort” van het Department for Transport.

Het bedrijf (d.w.z. de Britse regering) heeft klanten gerustgesteld dat er geen financiële informatie was opgeslagen in het getroffen systeem. Waarnemers uit de sector zeggen echter dat deze zaak onderstreept hoe kwetsbaarheden van derden risico’s kunnen opleveren voor kritieke spoorwegexploitanten. Er zijn ook vragen gesteld over de mogelijkheid van systeembrede interferentie zodra het genationaliseerde Great British Railways de volledige controle over het netwerk overneemt.

Advies aan klanten en reactie van LNER

LNER heeft contact opgenomen met getroffen passagiers en gewaarschuwd om voorzichtig te zijn met phishingpogingen. Het bedrijf heeft ook gezegd dat het op dit moment niet nodig is om wachtwoorden te wijzigen, omdat de inloggegevens niet zijn buitgemaakt. Het bedrijf onderhoudt contacten met het Information Commissioner’s Office (een onafhankelijke waakhond), dat naar verwachting zal onderzoeken of het datalek onder de meldplicht valt die is vastgelegd in de Britse GDPR-wetgeving. In eerdere gevallen zijn boetes opgelegd wanneer er onvoldoende waarborgen waren.

Belangrijk voor passagiers is dat de aanval geen invloed had op de kaartverkoopsystemen, treindiensten of veiligheidskritische infrastructuur. LNER benadrukte dat de spoorwegactiviteiten veilig blijven en dat alle diensten op de East Coast Main Line normaal verlopen. Passagiers die in Londen aankomen op diensten in zuidelijke richting zullen echter nog steeds te maken krijgen met de wijdverspreide gevolgen van een voortdurende staking, die alle metrodiensten heeft stilgelegd. Het Londense eindstation van de LNER – King’s Cross – is een van de grootste en drukste metroknooppunten.

De reputatieschade kan aanzienlijk zijn voor LNER, het Department for Transport en de Britse regering. Industrie-experts blijven het belang benadrukken van een betere beveiliging nu spoorwegmaatschappijen steeds meer vertrouwen op digitale systemen. Zelfs niet-operationele inbreuken kunnen het vertrouwen van het publiek in online boekings- en passagiersinformatieplatforms ondermijnen. Vanuit de sector groeit de roep om meer te investeren in het controleren van toeleveringsketens en het opleggen van strenge normen aan partners.