De schaal van de sluwe en stille cyberaanval op Amerikaanse overheidsinstanties blijkt steeds groter te zijn. Naast ministeries en telecominstituut NTIA zijn ook bedrijven gehackt, en is er sprake van internationaal bereik. Terwijl omvang en impact uitdijen, zijn er nog vraagtekens, beperkende factoren en bizarre feiten. In theorie hebben alle gebruikers van de Orion-beheertool van SolarWinds een backdoor binnengekregen, maar in de praktijk loopt niet iedereen een gelijkwaardig hackrisico. Toch is rust zeker niet gegeven.

Hoge bomen vangen veel wind, wat in ICT-securityvertaling neerkomt op: leveranciers met groot marktaandeel trekken veel hackers aan. Daarbij hoeft een hackslachtoffer niet eens het eigenlijke doelwit te zijn; hij kan slechts een middel zijn. Als malicieuze vliegen op stroop, waarbij die zoetigheid dan door veel derden wordt geconsumeerd. Waar Microsoft jaren terug al door schade en schande wijzer is geworden, daar leren opeenvolgende andere softwareleveranciers de harde lessen van security-by-design.

Van begin tot eindproduct

Deze lessen gelden niet alleen voor het eindproduct, maar ook voor de ontwikkelomgeving en het reguliere eigen netwerk. De geruchtmakende hackaanval op ‘tussenpartij’ DigiNotar is ook verlopen via de zij-ingang van het kantoornetwerk. En eerst nog via de webservers van dat Nederlandse certificatenbedrijf. De sluwheid van hacken via alternatieve routes is de essentie van het fenomeen van zogeheten ‘supply chain attacks’.

Daarbij nemen aanvallers niet de door hun beoogde organisaties en daar draaiende software op de korrel. Nee, ze beginnen bij een partij die al ‘binnen’ is bij het eigenlijke doelwit. Zoals een extern installatiebedrijf dat klimaatsystemen plaatst en beheert in de netwerken van winkelketens. Of een leverancier van software voor monitoring en beheer van netwerkomgevingen. Dat laatste geeft succesvolle aanvallers immense mogelijkheden: de digitale bewaker wordt dan de inbreker.