In de zomer van 2023 werd de wereld opgeschrikt door een grootschalig cyberincident rond MOVEit, een veelgebruikte oplossing voor het veilig uitwisselen van bestanden. Wat het incident bijzonder maakt, is niet alleen de omvang, maar vooral het inzicht dat het gaf in hoe kwetsbaar digitale supply chains zijn. Voor directies en CISO’s van middelgrote organisaties is dit incident een belangrijk leerstuk.
MOVEit wordt ingezet door organisaties die gevoelige data moeten uitwisselen met klanten, leveranciers en overheidsinstanties. Juist dat vertrouwen in een “bewezen” oplossing maakte de impact van het incident zo groot.
Wat is MOVEit en waarom is het zo wijdverbreid?
MOVEit is een zogeheten Managed File Transfer-oplossing (MFT). Dit is software die organisaties gebruiken om bestanden veilig te verzenden en te ontvangen, vaak met gevoelige of privacygevoelige informatie zoals persoonsgegevens en financiële data. MOVEit is ontwikkeld door Progress Software, een Amerikaans softwarebedrijf dat al decennia actief is in bedrijfssoftware.
Veel organisaties kiezen voor dit soort oplossingen omdat ze voldoen aan compliance-eisen en beveiligingsstandaarden. Daarmee wordt file transfer vaak gezien als een “afgevinkt” risico, iets wat veilig is uitbesteed aan een leverancier.
Wat ging er mis bij het MOVEit-incident?
Cybercriminelen ontdekten een kwetsbaarheid in MOVEit Transfer, de servervariant van de software. Via deze kwetsbaarheid konden zij ongeautoriseerd toegang krijgen tot systemen en data kopiëren, zonder direct sporen achter te laten. Dit type kwetsbaarheid wordt ook wel een zero-day genoemd: een beveiligingslek dat nog niet bekend is bij de leverancier.
Belangrijk hierbij is dat niet MOVEit-gebruikers zelf iets fout deden. Organisaties die hun systemen netjes hadden ingericht en geüpdatet, bleken toch kwetsbaar. Dit onderstreept hoe afhankelijk je bent van de beveiliging van je leveranciers.
De schaal en impact: duizenden organisaties geraakt
De aanvallen werden toegeschreven aan de cybercriminele groepering Cl0p, die zich specialiseert in grootschalige datadiefstal en afpersing. Wereldwijd werden duizenden organisaties getroffen, waaronder banken, zorginstellingen, onderwijsorganisaties en overheden.
Ook Nederlandse organisaties bleken geraakt, soms indirect via leveranciers of dienstverleners. Denk aan salarisverwerkers, IT-dienstverleners of logistieke partners die MOVEit gebruikten voor gegevensuitwisseling. Hierdoor kwamen persoonsgegevens van medewerkers en klanten op straat te liggen, zonder dat de getroffen organisaties hier directe controle over hadden.
Waarom dit een typisch supply chain-incident is
Het MOVEit-incident is geen klassiek “hacker valt bedrijf aan”-verhaal. Het is een schoolvoorbeeld van een digitaal supply chain-incident. De aanval richtte zich op één softwareleverancier, maar had gevolgen voor duizenden organisaties in de keten.
Voor bestuurders is dit een belangrijk inzicht: je digitale supply chain bestaat niet alleen uit directe leveranciers, maar ook uit de software en diensten die zij gebruiken. Hoe verder die keten reikt, hoe lastiger het wordt om risico’s te overzien en te beheersen.
De bestuurlijke realiteit: verantwoordelijkheid blijft bij jou
Hoewel de kwetsbaarheid bij de leverancier lag, bleef de verantwoordelijkheid bij de getroffen organisaties zelf. Zij moesten meldingen doen bij toezichthouders, betrokkenen informeren en reputatieschade beperken. Dit leidt vaak tot lastige vragen vanuit klanten, toezichthouders en de media.
Voor directies is dit een confronterende realiteit: uitbesteden vermindert operationele lasten, maar niet de eindverantwoordelijkheid. Digitale risico’s stoppen niet bij het contract met een leverancier.
Wat kunnen organisaties hiervan leren?
Het MOVEit-incident laat zien dat traditionele leveranciersbeoordelingen niet meer volstaan. Een jaarlijkse audit of vragenlijst geeft geen inzicht in actuele kwetsbaarheden. Organisaties doen er goed aan om kritieke leveranciers continu te monitoren en expliciete afspraken te maken over kwetsbaarheidsmanagement en incidentrespons.
Daarnaast helpt het om inzichtelijk te maken waar gevoelige data zich bevindt en via welke systemen deze wordt uitgewisseld. Veel organisaties realiseren zich pas bij een incident hoe complex hun digitale keten daadwerkelijk is.
Van IT-probleem naar strategisch risico
Wat MOVEit vooral duidelijk maakt, is dat supply chain security geen puur IT-onderwerp meer is. Het raakt bedrijfscontinuïteit, compliance, reputatie en vertrouwen. Daarmee hoort het thuis op de agenda van directie en bestuur.
Door supply chain risico’s expliciet te benoemen en te bespreken, kunnen organisaties gerichter investeren in weerbaarheid. Niet door alles zelf te doen, maar door bewuster keuzes te maken in leveranciers, contracten en toezicht.
Conclusie: bewustzijn is de eerste stap
Het MOVEit-incident was geen uitzonderlijke gebeurtenis, maar een voorbode van wat vaker zal voorkomen. Digitale ecosystemen worden complexer en aanvallers richten zich steeds vaker op schakels die veel organisaties tegelijk raken.
Voor middelgrote organisaties is het daarom essentieel om verder te kijken dan de eigen muren. Wie begrijpt hoe ver de digitale supply chain reikt, kan beter anticiperen op risico’s en voorkomt dat het volgende incident opnieuw als een verrassing komt.
