LNER cyberaanval: “Veiligheid zo sterk als de zwakste schakel

Het Britse staatsbedrijf LNER zou blij kunnen zijn met de sluiting van de East Coast Main Line dit weekend (en het komende weekend). De exploitant van de express passagiersdiensten heeft vorige week een datalek toegegeven en is sindsdien volop in het nieuws. Terwijl passagiers zich afvragen waar ze hun omgeleide treinen en vervangende busdiensten kunnen vinden, worden er binnen de industrie vragen gesteld over de mate van beveiliging die de Britse overheid heeft geboden aan de gegevens van diezelfde passagiers.

Met het Britse ministerie van Transport, een van de weinige regeringskantoren die niet getroffen werd door een wijdverspreide herschikking vorige week, lijkt er weinig excuus te zijn voor een onoplettendheid waardoor een cyberaanval kon binnendringen in een van haar verantwoordelijkheden. De onthulling dat de gegevens van LNER-klanten zijn onthuld, kwam echter als een schok. Het datalek vond plaats bij een niet nader genoemde externe leverancier, wat vragen oproept over naleving en zorgvuldigheid. LNER zei dat er geen bank- of betalingsgegevens of wachtwoordgegevens waren buitgemaakt.

Lakse risicobeoordeling bij leveranciers

Met zoveel andere zaken die de krantenkoppen en de aandacht van de overheid in beslag nemen, is het incident grotendeels onder de radar van de reguliere pers gebleven. RailTech.com pikte het verhaal vorige week op, toen de online aanwezigheid van LNER onder druk kwam te staan. Toch is de ernst van het incident niet aan de aandacht van de online beveiligingsindustrie ontsnapt. “De beveiliging van een organisatie is slechts zo sterk als de zwakste schakel in de toeleveringsketen”, zegt Darren Guccione, CEO van het voornamelijk in de VS gevestigde Keeper Security. “Een inbreuk van dit type geeft cybercriminelen de grondstoffen die nodig zijn om zeer effectieve phishing- en social-engineeringcampagnes op te zetten.”

Guccione stelt dat organisaties systemen van derden moeten behandelen als onderdeel van hun ‘aanvalsoppervlak’ en proactieve stappen moeten nemen om soortgelijke uitkomsten te voorkomen. “Dit begint met het uitvoeren van een grondige risicobeoordeling van leveranciers om de beveiligingspraktijken van elke partner te evalueren, inclusief certificeringen, gegevensbeschermingsprocedures en incidentbestrijdingsplannen”, zegt hij.

Samenwerken met experts om beveiligingen te implementeren

De zorg is dat LNER, een schaduwnaam van de’Operator of Last Resort’ van het Department for Transport, een goede analogie is van wat verwacht zou kunnen worden onder het volledige nationalisatieprogramma van de Britse regering. Het overheidsbedrijf, dat diensten onderhoudt op de East Coast hoofdlijn tussen Londen en Schotland, zei dat de inbreuk betrekking had op bestanden die door een externe leverancier werden beheerd. In een verklaring zei LNER dat “er geen bank-, betaalkaart- of wachtwoordgegevens zijn aangetast” en bevestigde dat het bedrijf het incident met de “hoogste prioriteit” behandelt en samenwerkt met experts en de leverancier om veiligheidsmaatregelen te implementeren.

De compromittering van externe leveranciers neemt dit jaar toe”, zegt Michael Tigges, Senior Security Operations Analyst bij Huntress, een bedrijf in New York dat cybercriminelen op agressieve wijze bestrijdt. “Bedrijven moeten regelmatig oefeningen houden en de herkomst van gegevens onderzoeken,” zegt Tigges. Dit zou helpen om te controleren of gegevens die via externe leveranciers stromen goed beveiligd zijn. “Eindgebruikers zouden moeten overwegen om hun identiteiten te verharden om aanvallen op te sporen waarbij de gestolen informatie als wapen wordt gebruikt.

Toename van gerichte oplichting

LNER was in het weekend nog niet volledig hersteld. “Uit voorzorg hebben we sommige van onze berichtendiensten en marketinge-mails tijdelijk onderbroken”, aldus een verklaring van LNER. We werken nauw samen met experts en de leverancier om te begrijpen wat er is gebeurd en om ervoor te zorgen dat de juiste voorzorgsmaatregelen worden genomen.” Tot de systemen die niet werken behoort ook het online ‘Delay Repay’ systeem, dat passagiers compenseert wanneer treinen vertraging oplopen.

“De aanval volgt op een zomer van supply chain-gerelateerde incidenten die bekende namen troffen zoals M&S, Co-op en recentelijk Jaguar Land Rover,” zegt Tim Grieveson, Chief Security & Risk Officer bij het Amsterdamse hoofdkantoor ThingsRecon. “De daders zijn nog niet geïdentificeerd. Wat deze inbreuken gemeen hebben, is dat ze de complexiteit van moderne digitale ecosystemen blootleggen, waarbij integraties met derden en toeleveringsketens een aanzienlijke impact kunnen hebben op de beveiliging,” voegde hij eraan toe. “Blootgestelde contactgegevens kunnen worden doorverkocht aan spammers of cybercriminelen, wat kan leiden tot een toename van ongewenste communicatie of gerichte oplichting, zelfs als de betalingsgegevens niet zijn gecompromitteerd.”