Wat een telecommegahack je leert over jouw eigen security

Een grote Nederlandse telecomprovider (Odido) meldde vandaag een forse cyberaanval: criminelen kregen toegang tot een bestand met de gegevens van mogelijk 6,2 miljoen klantaccounts. Het gaat om een klantcontactsysteem met onder andere naam- en adresgegevens, telefoonnummers, klantnummers, e-mailadressen, IBAN-rekeningnummers, geboortedata en in veel gevallen ook nummers en geldigheidsdata van identiteitsdocumenten zoals paspoort of rijbewijs. Wachtwoorden, belgegevens en factuurdata zouden niet zijn geraakt.

Dat is schrikken, zeker omdat dit geen “rommelhoster” is maar een professionele speler met serieuze security. Precies daarom is dit een nuttige casus: als dit soort organisaties geraakt kunnen worden, wat betekent dat dan voor mkb en kleinere enterprises. En belangrijker, wat kun je zélf doen om de impact van dit soort datalekken te beperken, ook als de aanval niet bij jou begint.

In dit artikel kijken we vanuit Flowerbed-bril naar drie dingen. Wat maakt juist dit type gegevens zo interessant voor criminelen. Hoe worden zulke datasets in de maanden daarna misbruikt. En welke concrete stappen kun je als organisatie zetten, technisch, organisatorisch en richting je mensen.

‍

“Geen wachtwoorden gelekt” klinkt rustig, maar is het niet

In de communicatie rondom dit soort incidenten wordt vaak snel gezegd dat er geen wachtwoorden zijn buitgemaakt. Dat klopt in deze case ook: het ging om een klantcontactsysteem, geen authenticatiesysteem.

Toch is dat maar een deel van het verhaal. De combinatie van NAW-gegevens, e-mailadressen, mobiele nummers, klantnummers, IBAN en identiteitsdocumentgegevens is voor criminelen minstens zo waardevol. Met die set kun je heel veel.

Een aanvaller kan extreem overtuigende phishing-mails en sms’jes maken. Niet “Beste klant”, maar berichten met jouw echte naam, klantnummer en een correcte verwijzing naar je provider of product. Techredacteuren van de NOS waarschuwen al dat dit soort data juist zo gevaarlijk zijn omdat criminelen geloofwaardige betalingsherinneringen, contractwijzigingen of “beveiligingschecks” kunnen namaken.

Identiteitsfraude wordt eenvoudiger. Documentnummers en geldigheidsdata zijn belangrijke puzzelstukjes bij het openen van accounts, aanvragen van leningen of registreren bij andere diensten. In veel processen is combinatie van naam, adres, geboortedatum, IBAN en ID-gegevens nog steeds voldoende om “vertrouwd” te lijken.

En criminelen kunnen zich geloofwaardig voordoen als jouw organisatie richting klanten of partners. Met echte NAW- en contractdata in de hand klinkt een “medewerker van uw telecomprovider, bank of IT-partner” ineens een stuk overtuigender aan de telefoon.

Dat alles speelt zich af in een wereld waarin datadiefstal sowieso sterk is toegenomen. De Autoriteit Persoonsgegevens rapporteerde recent dat het aantal gevallen van datadiefstal door cybercriminelen in 2024 bijna is verdubbeld. Er zijn dus niet alleen meer datalekken, maar ook meer kansen om datasets te combineren.

Hoe dit soort datasets na een lek worden gebruikt

Bij grote datalekken zie je vaak hetzelfde patroon. Eerst wordt geprobeerd het getroffen bedrijf onder druk te zetten. Daarna duikt de dataset vroeg of laat op in criminele netwerken, al dan niet in stukken geknipt en doorverkocht. De NOS beschreef bij eerdere datalekken hoe criminelen datasets kunnen gebruiken om slachtoffers direct op te lichten, om bedrijven af te persen of om de data door te verkopen op het darkweb.

De echte kracht voor aanvallers zit in combineren. In de afgelopen jaren hebben we in Nederland datalekken gezien bij zorgpartijen, onderwijsinstellingen, overheidsdienstverleners, webshops en SaaS-leveranciers. Door gegevens te koppelen op basis van e-mail, telefoonnummer of naam plus geboortedatum, ontstaan steeds completere profielen van burgers en medewerkers.

Daarna volgen gerichte campagnes. Denk aan sms’jes over “achterstallige facturen”, mails over contractwijzigingen, telefoontjes van “bankfraudeafdelingen” of “helpdesks” die zogenaamd willen helpen met het oplossen van een probleem. Hoe meer echte data een aanvaller heeft, hoe lastiger het wordt voor mensen om op hun onderbuikgevoel te vertrouwen.

Belangrijk om te beseffen is dat dit niet alleen de komende dagen speelt. Datasets kunnen maanden of jaren later weer worden opgediept en hergebruikt. Het is dus geen korte golf, maar een langere risicoperiode. Dat vraagt om structurele maatregelen, niet alleen een eenmalige waarschuwing.

‍

Wat dit zegt over NIS2, ketenrisico en “we zijn toch te klein om interessant te zijn”

Telecom valt duidelijk in de categorie organisaties die onder de strengste NIS2-eisen gaan vallen. Zij moeten aantoonbaar passende maatregelen nemen, incidenten melden en bestuurders zijn nadrukkelijk verantwoordelijk voor cyberweerbaarheid.

Maar de belangrijkste les voor mkb en kleinere enterprises is misschien wel dat je ketenrisico’s serieuzer moet nemen. Ook als je zelf geen “essentiële entiteit” bent, ben je wel afhankelijk van partijen die dat wél zijn: telecom, cloud, betaalverkeer, SaaS-platformen, outsourcingpartners.

Een incident bij zo’n partij kan betekenen dat gegevens van jouw medewerkers of klanten op straat komen te liggen. Het kan ook leiden tot verstoringen in je dienstverlening. En toezichthouders en opdrachtgevers zullen steeds vaker willen zien dat je hebt nagedacht over dit soort afhankelijkheden, in contracten, in je risicoregister en in je incidentplannen.

De gedachte “wij zijn te klein om interessant te zijn” is allang achterhaald. Nederland is, door zijn digitale infrastructuur, in het algemeen een aantrekkelijk doelwit, en mkb komt regelmatig indirect in beeld doordat grote leveranciers worden geraakt.

NIS2 kun je zien als extra druk, maar óók als handige checklist. Weet je van welke digitale leveranciers je kritisch afhankelijk bent. Weet je welke data zij precies verwerken. Weet je hoe zij omgaan met incidenten en hoe jij daarover wordt geïnformeerd. En heb je zelf een plan voor wat je intern doet als er bij een belangrijke leverancier iets misgaat.

‍

Wat je vandaag al tegen je medewerkers kunt zeggen

Los van techniek en wetgeving is dit vooral een mensenvraagstuk. Een deel van je collega’s zal klant zijn bij de getroffen telecomprovider, of familie hebben die dat is. En hoe dan ook zullen criminelen deze situatie aangrijpen als haakje in mails en telefoontjes, of je nu klant bent of niet.

Een korte, heldere interne boodschap helpt enorm. Leg uit dat er recent een grote datadiefstal is geweest bij een telecomprovider. Vertel dat criminelen die data kunnen gebruiken om geloofwaardige berichten en telefoontjes te sturen, bijvoorbeeld over facturen, simkaarten, “verificaties” of bankzaken.

Maak duidelijk dat persoonlijke details in een bericht niet betekenen dat de afzender betrouwbaar is. Het feit dat iemand jouw adres, klantnummer of gedeeltelijk IBAN kent, bewijst alleen dat jouw gegevens ergens in een dataset zitten.

Geef medewerkers eenvoudige gedragsregels mee. Reageer niet op onverwachte verzoeken om in te loggen via een link in een bericht. Zoek zelf de officiële website of app op. Hang op en bel een organisatie via een officieel nummer als een telefoontje je onderbuikgevoel triggert.

En benadruk dat melden mag en moet. Als iemand een verdacht bericht of telefoontje krijgt, is dat geen domme vraag, maar waardevolle input. Hoe eerder jullie patronen zien, hoe sneller je collega’s kunt waarschuwen en je maatregelen kunt aanscherpen.

‍

Technische en organisatorische basics die nu echt op orde moeten zijn

Veel van de impact van dit soort incidenten kun je dempen door je eigen basics goed te regelen. Denk aan identity en access management rondom je eigen systemen: overal waar het kan multi factor authenticatie verplicht, sterke wachtwoordbeleid, en goed beheer van beheerdersaccounts en delegaties. Aanvallen op gebruikers die met echte data worden benaderd, hebben minder kans als inloggen niet alleen op een wachtwoord leunt.

Zorg dat je proceskant meeloopt. Klantcontact en interne servicedesks moeten getraind zijn om niet alleen vriendelijk, maar ook kritisch te zijn. Als iemand belt of mailt met veel “perfecte” klantinformatie, is dat geen bewijs dat de persoon is wie hij zegt dat hij is. Bouw extra verificatiestappen in, bijvoorbeeld via terugbelafspraken op geregistreerde nummers of extra controlevragen.

Awareness en training verdienen structurele aandacht. Gebruik dit nieuws als concreet voorbeeld in je volgende awareness-moment, nieuwsbrief of training. Tools zoals KnowBe4 en vergelijkbare platforms maken het mogelijk om scenario’s rond telecomphishing, bankhelpdeskfraude en identiteitsmisbruik te simuleren, maar de kern is het gesprek dat je er intern over voert: wat doen wij als organisatie als iemand twijfelt.

Tot slot: test je incidentproces ook voor scenario’s waarbij niet jij, maar een leverancier wordt geraakt. Weet je wie er in de eerste 24 tot 72 uur in de lead is. Weet je welke boodschappen je wilt communiceren naar medewerkers en klanten. En weet je welke externe partners (SOC, forensisch onderzoek, juridisch advies) je erbij betrekt als dat nodig is.

‍

Hoe wij hier als Flowerbed naar kijken

Als managed service- en securitypartner zien we dit soort mega-incidenten als pijnlijke, maar waardevolle leermomenten voor de hele markt. Grote, professionele organisaties met een volwassen securityteam kunnen nog steeds slachtoffer worden van een slimme aanval. Dat betekent dat “nooit gehackt worden” geen realistisch doel is. Wat wél realistisch is, is het beperken van de schade, het snel en eerlijk communiceren en je eigen weerbaarheid vergroten, óók als de aanval niet bij jou begint.

Met onze SOC- en MDR-partners helpen we klanten om aanvallen in hun eigen omgeving sneller te zien en te stoppen. Met awareness- en human risk-oplossingen helpen we medewerkers om phishing en social engineering beter te herkennen, juist wanneer aanvallers met echte klantdata werken. En met onze consultancy rond NIS2, ketenrisico en integrale security-dashboarding helpen we management en directie om overzicht te houden, prioriteiten te stellen en niet te verdrinken in alle meldingen en rapportages.

De hack bij deze telecomprovider is geen reden voor paniek, maar wel een wake-up call. Dat data van miljoenen mensen bij criminelen belanden, is helaas geen uitzondering meer. Hoe jouw organisatie daar mee omgaat, richting medewerkers, klanten en bestuur, is precies waar je vandaag het verschil kunt maken.

‍