TLDR

RaaS-groepen verhuren aanvalskits per abonnement — uw continuïteitsrisico wordt bepaald door de zwakste schakel in uw leveranciersketen, niet door uw eigen firewall. MOVEit trof 620 organisaties in 48 uur. Change Healthcare kostte 22 miljard dollar. Nederland wacht op het volgende grote incident.

Boardroom-schok: uw risico staat bij uw leverancier, niet in uw eigen serverruimte

Op 21 februari 2024 werden de systemen van Change Healthcare versleuteld door de ransomwaregroep ALPHV/BlackCat. Change Healthcare verwerkte 50 procent van alle medicijnbestellingen in de Amerikaanse zorgsector. Binnen 24 uur konden tienduizenden apotheken geen recepten meer verwerken, konden ziekenhuizen geen declaraties indienen en lagen patiëntendossiers onbereikbaar. Negen maanden herstel. Moederbedrijf UnitedHealth Group schatte de totale schade op 22 miljard dollar. De apothekers en ziekenhuizen werden niet aangevallen — ze waren bijvangst in een aanval op hun IT-leverancier.

Acht maanden eerder, in juni 2023, ontdekte de criminele groep Cl0p een SQL-injectiekwetsbaarheid in MOVEit Transfer — software voor beveiligde bestandsoverdracht die door duizenden organisaties wordt gebruikt, vaak onzichtbaar als onderdeel van een groter IT-landschap. In 48 uur exploiteerden zij die kwetsbaarheid bij 620 organisaties wereldwijd, waaronder Rabobank, overheidsaannemers en een reeks Nederlandse bedrijven. Meer dan 40 miljoen persoonsdossiers werden buitgemaakt. De meeste getroffen organisaties wisten niet eens dat MOVEit in hun infrastructuur draaide — het was een tool van hun softwareleverancier.

Dit is het patroon van de moderne supply chain-aanval: criminelen zoeken niet de sterkste schakel, maar de zwakste. En de zwakste schakel staat bijna nooit op uw eigen bewakingslijst.

620+
organisaties getroffen via één MOVEit-kwetsbaarheid, juni 2023
€22 mrd
geschatte totale schade Change Healthcare-aanval (UnitedHealth, 2024)
23 dagen
gemiddelde downtime na ransomware-aanval (Coveware Q4 2024)
€980.000
gemiddeld losgeld in EMEA-regio (Coveware Q4 2024)

De nieuwe economie van ransomware: franchise-model

Ransomware-as-a-Service werkt als een franchise. De operator — LockBit, BlackCat/ALPHV, Cl0p — bouwt en onderhoudt de aanvalsinfrastructuur: malware, commandoservers, onderhandelingsportals, klantenservice voor slachtoffers. Affiliates — criminelen zonder technische kennis — huren toegang en betalen 20 tot 30 procent commissie op het losgeld. De affiliate hoeft niets zelf te ontwikkelen. Hij koopt toegang, zoekt een zwakke schakel in een keten, en wacht.

Dit model heeft de drempel voor ransomware-aanvallen structureel verlaagd. Gartner schatte in 2024 dat 45 procent van de organisaties wereldwijd inmiddels een supply chain-aanval heeft meegemaakt. Het Nederlandse NCSC vermeldde in de Cybersecuritymonitor 2025 dat het supply chain-aanvalsvector in 43 procent van de geregistreerde majeure incidenten een rol speelde. Het getal stijgt elk jaar.

"De aanval op uw organisatie begint niet bij uw eigen kwetsbaarheid. Hij begint bij de kwetsbaarheid van de partij die toegang tot uw netwerk heeft maar niet op uw bewakingslijst staat."

Waarom dit ertoe doet

De kern van het probleem is een bewakingskloof. CISA meldde in 2024 dat 75 procent van de kritieke-infrastructuurorganisaties leveranciers heeft met verhoogde toegangsrechten tot hun systemen — maar geen continue monitoring van die toegang instelt. U beveiligt uw eigen front door, maar de achterdeur staat open voor iedereen die uw boekhoudpakket, uw HR-systeem of uw IT-beheerder levert.

De financiële impact is niet hypothetisch. Naast de losgeldsom zijn er herstelkosten, juridische kosten, reputatieschade en omzetderving. Gemiddeld zijn organisaties 23 dagen operationeel beperkt na een ransomware-aanval. Voor een middelgrote Nederlandse dienstverlener met €20 miljoen omzet betekent dit bij volledige uitval meer dan €1,5 miljoen aan gederfde inkomsten — nog vóór een enkele euro aan losgeld of herstelwerk.

En dan is er de NIS2-dimensie. Artikel 21(2)(d) van de richtlijn maakt u als essentiële of belangrijke entiteit expliciet verantwoordelijk voor het risicomanagement van uw gehele supply chain. "Ik wist niet dat mijn leverancier kwetsbaar was" is geen verweer meer — het is een bewijs van nalatigheid.

Beleidscontext

De NIS2-richtlijn (geïmplementeerd als Cyberbeveiligingswet, Staatsblad 2025) verplicht organisaties in scope expliciet tot supply chain-risicobeheer. Artikel 21(2)(d) noemt "beveiliging van de toeleveringsketen, inclusief beveiligingsaspecten van de relaties met directe leveranciers en dienstverleners" als een van de verplichte technische en organisatorische maatregelen. U kunt dit niet uitbesteden aan uw IT-afdeling en hopen dat het geregeld is.

De Cyber Resilience Act (CRA), vanaf 2027 van kracht, verplicht softwareleveranciers tot security by design en het leveren van een Software Bill of Materials (SBOM) — een volledige inventaris van de softwarecomponenten in hun producten. Dit geeft afnemers voor het eerst een wettelijk afdwingbaar recht op inzicht in de kwetsbaarheidshistorie van de software die zij inkopen. Leveranciers die dit niet kunnen leveren, zijn na 2027 non-compliant. Uw inkoopbeleid moet nu al anticiperen op deze vereiste.

Wat kunt u morgen doen?

  • Maak een leveranciers-toegangsregister. Welke externe partijen hebben op dit moment toegang tot uw netwerk, systemen of data — en op welk niveau? Dit register bestaat in de meeste organisaties niet. Begin met uw top-20 leveranciers op basis van systemische impact: wie, als zij wegvallen of gecompromitteerd worden, uw operatie kan stilleggen.
  • Vraag beveiligingscertificeringen op als contractvoorwaarde. ISO 27001, SOC 2 Type II, of NIS2-conformiteitsverklaring. Leveranciers die dit niet kunnen leveren, zijn een onbeheersbaar risico. Stel een deadline voor certificering als contractuele vereiste — niet als nice-to-have in een aanhangsel.
  • Leg een contractuele meldplicht vast. Uw leveranciers moeten beveiligingsincidenten met mogelijke impact op uw systemen binnen 24 uur melden — niet na intern juridisch overleg. De meeste standaard inkoopcontracten bevatten geen enkele meldplicht. Dat is een witte vlek die uw eigen NIS2-meldverplichting onmogelijk te halen maakt.
  • Simuleer de uitval van uw top-drie leveranciers. Wanneer heeft u voor het laatst getest wat er operationeel gebeurt als uw belangrijkste IT-leverancier, uw cloudomgeving of uw ERP-systeem 30 dagen niet beschikbaar is? Bedrijfscontinuïteitsplannen die nooit zijn getest, zijn geen plannen — het zijn documenten.
  • Isoleer leverancierstoegang op netwerkniveau. Externe partijen die toegang hebben tot uw netwerk, mogen niet lateraal kunnen bewegen naar systemen die buiten hun werkgebied vallen. Zero-trust principes en netwerksegmentatie zijn geen luxe-maatregel — ze zijn de technische implementatie van wat NIS2 organisatorisch vereist.

Bronnen: UnitedHealth Group — Annual Report 2024 (Change Healthcare impact-raming $22B); Coveware Quarterly Ransomware Report Q4 2024 (downtime 23 dagen, losgeld EMEA €980K); Progress Software / Cl0p MOVEit-analyse — Mandiant Threat Intelligence, juni 2023 (620+ getroffen organisaties, 40M records); Gartner Supply Chain Security Predictions 2024 (45% supply chain attack exposure); NCSC Cybersecuritymonitor 2025 (supply chain-vector in 43% majeure incidenten); CISA Advisory AA24 — derde-partij-toegangsmonitoring (75% kritieke infrastructuur); NIS2-richtlijn Art. 21(2)(d); Cyber Resilience Act (CRA) — Verordening (EU) 2024/2847, Art. 13 SBOM-vereiste