Het incident bij Kaseya in juli 2021 wordt vaak aangehaald als een klassiek voorbeeld van een digitale supply-chain-aanval. Toch blijkt in gesprekken met directies en CISO’s dat de impact en lessen nog lang niet altijd volledig zijn doorgedrongen.
Kaseya is een Amerikaans softwarebedrijf dat beheeroplossingen levert aan Managed Service Providers (MSP’s). Deze MSP’s beheren op hun beurt IT-omgevingen van honderden tot soms duizenden organisaties, waaronder veel middelgrote bedrijven in Nederland. Juist die positie in de keten maakte Kaseya een aantrekkelijk doelwit.
De aanval richtte zich niet primair op Kaseya zelf, maar op de vertrouwensrelatie tussen Kaseya, de MSP en de eindklant. Daarmee werd in één klap zichtbaar hoe ver de digitale supply chain reikt, vaak verder dan bestuurders zich realiseren. Het incident laat zien dat cyberrisico’s niet ophouden bij de eigen firewall of IT-afdeling, maar zich opstapelen bij leveranciers, softwaremakers en dienstverleners die diep in de bedrijfsvoering zijn verweven.
Wat gebeurde er technisch, zonder in jargon te vervallen
De aanvallers maakten misbruik van een kwetsbaarheid in Kaseya VSA, een beheertool waarmee MSP’s op afstand systemen van klanten kunnen monitoren en beheren. Zo’n tool heeft per definitie verregaande rechten, omdat hij anders zijn werk niet kan doen. De criminelen wisten via deze kwetsbaarheid kwaadaardige software te verspreiden die automatisch werd uitgerold naar systemen van eindklanten.
Dit type aanval heet ransomware: bestanden worden versleuteld en pas na betaling van losgeld weer vrijgegeven. De gebruikte ransomware was afkomstig van de groep REvil, destijds een van de meest professionele cybercriminele netwerken. Belangrijk om te begrijpen is dat geen enkele eindorganisatie “iets fout” hoefde te doen. De aanval maakte gebruik van legitieme software en bestaande beheerkanalen. Voor bestuurders is dit confronterend: zelfs goed ingerichte organisaties met nette beveiligingsmaatregelen kunnen via hun leveranciers worden geraakt, zonder directe waarschuwing vooraf.
De impact: van IT-verstoring tot bedrijfsstilstand
De gevolgen van het Kaseya-incident waren aanzienlijk. Wereldwijd werden naar schatting 1.500 organisaties geraakt. In Europa haalde vooral de tijdelijke sluiting van supermarkten veel media-aandacht, maar ook productiebedrijven, accountantskantoren en logistieke dienstverleners lagen dagenlang stil.
Voor middelgrote organisaties betekende dit vaak meer dan alleen IT-problemen. Orderverwerking stopte, facturatie liep vertraging op en klantvertrouwen kwam onder druk te staan. In Nederland zagen we dat bedrijven afhankelijk waren van hun MSP voor herstel, terwijl diezelfde MSP zelf slachtoffer was. Dit zorgde voor een gevoel van machteloosheid bij directies: men kon niet ingrijpen, maar moest afwachten. Het incident maakte pijnlijk duidelijk dat continuïteit niet alleen afhankelijk is van interne processen, maar van de veerkracht van de hele keten. Financiële schade, reputatieschade en bestuurlijke vragen volgden elkaar snel op.
Waarom dit een klassiek supply-chain-risico is
Het Kaseya-incident wordt terecht geclassificeerd als een supply-chain-aanval omdat de aanvallers bewust kozen voor een schakel hoog in de keten. Door één leverancier te compromitteren, kregen zij toegang tot honderden organisaties tegelijk. Dit principe kennen we uit de fysieke supply chain: wie een centraal distributiecentrum raakt, legt meerdere winkels plat.
Digitaal werkt het net zo. Wat het extra complex maakt, is dat veel organisaties hun digitale keten niet volledig in kaart hebben. Contracten focussen vaak op prijs en beschikbaarheid, minder op beveiliging en crisisrespons. Bestuurders gaan er impliciet van uit dat gerenommeerde leveranciers hun zaken op orde hebben. Het Kaseya-incident laat zien dat reputatie geen garantie is. Supply-chain-risico’s vragen daarom om bestuurlijke aandacht, vergelijkbaar met financiële of juridische risico’s, en niet uitsluitend om technische oplossingen.
Bestuurlijke lessen voor directie en CISO
Een belangrijke les is dat supply-chain-risico’s expliciet moeten worden belegd op bestuursniveau. Dit betekent niet dat bestuurders technische experts moeten worden, maar wel dat zij de juiste vragen stellen. Welke leveranciers hebben diepgaande toegang tot onze systemen? Wat gebeurt er als zij uitvallen of worden gecompromitteerd? En hoe snel kunnen wij zelfstandig doorgaan?
Voor CISO’s ligt hier de uitdaging om risico’s begrijpelijk te vertalen naar bedrijfsimpact. Termen als “remote management tooling” of “zero-day kwetsbaarheid” moeten worden uitgelegd in termen van omzetverlies, stilstand en reputatie. Daarnaast vraagt dit om scenario-denken: niet of, maar wanneer een ketenpartner wordt geraakt. Het Kaseya-incident toont aan dat een crisisplan zonder leveranciersperspectief onvolledig is.
Van incident naar structurele verbetering
Positief is dat het Kaseya-incident bij veel organisaties heeft geleid tot meer bewustwording. Steeds vaker worden leveranciers beoordeeld op hun beveiligingsmaatregelen, worden exit-scenario’s besproken en worden back-ups losgekoppeld van beheerplatformen. Ook zien we dat Nederlandse organisaties kritischer kijken naar MSP-constructies en contractueel vastleggen hoe incidenten worden gemeld en afgehandeld. Dit zijn stappen in de goede richting.
Supply Chain Risk Management is geen eenmalig project, maar een doorlopend proces dat meebeweegt met digitalisering. Het verhaal van Kaseya laat zien dat transparantie, samenwerking en bestuurlijke betrokkenheid essentieel zijn. Wie deze lessen serieus neemt, vergroot niet alleen zijn digitale weerbaarheid, maar ook het vertrouwen van klanten en partners in een steeds complexere keten.
