Lessen uit de Target-hack

Eind 2013, terwijl de wereld zich voorbereidde op de feestdagen, vond een van de meest impactvolle datalekken plaats in de geschiedenis van retail. De Target-hack (Target is een Amerikaans warenhuis-red.) resulteerde in de diefstal van de betaalkaartgegevens van 40 miljoen klanten en de persoonlijke informatie van nog eens 70 miljoen mensen. Ik was een van die klanten.

Tijdens een vakantie in New Bedford (VS) gebruikte ik mijn creditcard bij een Target-winkel. Nietsvermoedend rekende ik af voor een paar eenvoudige aankopen, niet wetende dat mijn gegevens werden onderschept door malware die zich stilletjes had genesteld in Targets point-of-sale (POS)-systemen. Weken later werd ik, net als miljoenen anderen, geconfronteerd met de harde realiteit: mijn creditcardgegevens waren gestolen. Dit was voor mij gelukkig snel opgelost – ik moest mijn creditcard vervangen en waakzaam zijn voor verdachte transacties, maar de impact van de hack op Target was enorm.

Dit incident kostte Target meer dan 200 miljoen dollar, aan schadevergoedingen, juridische kosten en beveiligingsupgrades. Daarnaast schatte het bedrijf de reputatieschade in de miljarden. Wat mij toen het meest verbaasde, was hoe eenvoudig de aanval was uitgevoerd. Hackers drongen door tot Targets POS-systemen via het ongesegmenteerde bedrijfsnetwerk, na binnengekomen te zijn in een winkel via een leverancier van HVAC-diensten, een bedrijf met minder geavanceerde beveiliging.

Deze zwakke schakel in de keten maakte het voor cybercriminelen mogelijk om het netwerk van een van de grootste retailers ter wereld te infiltreren. Het incident benadrukte het belang van leveranciersbeheer, netwerksegmentatie en snelle detectie van bedreigingen. Het was een wake-upcall voor bedrijven wereldwijd, maar de vraag bleef: Welke lessen zou het bedrijfsleven hieruit leren?

Nu, een decennium na de Target-hack, en met een SolarWinds incident erbij in 2020, lijkt de wereld eindelijk de lessen van het verleden ter harte te nemen. Leveranciersbeveiliging ontwikkelt zich naar een kernonderdeel van bedrijfsvoering en beveiligingsraamwerken. Ik constateer dat we flink aan het verbeteren zijn:

• Leveranciersbeheer is prioriteit – Veel organisaties hebben systemen ingevoerd om leveranciersrisico’s beter te documenteren en te beheren. Leveranciers moeten nu voldoen aan strengere eisen en regelmatige audits ondergaan.
• Verbeterde regelgeving – Europese regelgeving zoals NIS2 en de AVG verplichten bedrijven om bedrijfsinformatie en persoonsgegevens beter te beschermen. Er is gericht toezicht op de naleving hiervan.
• Zero Trust-beveiligingsmodellen – Zero Trust heeft een prominente rol gekregen. Organisaties segmenteren hun netwerken en beperken toegang tot alleen wat strikt noodzakelijk is. Tooling om dit te doen werkt beter.
• Proactieve detectie en respons – Moderne beveiligingstechnologieën maken gebruik van AI en machine learning om bedreigingen vanuit leveranciers sneller te detecteren en aan te pakken. Managed dienstverlening op dit vlak is nu standaard.

Toen mijn creditcardgegevens in 2013 werden gestolen bij Target, leek dit een onfortuinlijk, maar geïsoleerd, incident te zijn. Nu, ruim tien jaar later, wordt er structureel gekeken naar de beveiliging van leveranciers. Er zijn structurele verbeteringen doorgevoerd om leveranciersrisico’s te beheersen.

Soms gaat verandering niet zo snel als we dat zouden willen. Het leek toen ook alsof er weinig mee gedaan werd, maar terugkijkend constateer ik dat we toch wel tevreden mogen zijn met de ontwikkelingen in leveranciersbeheer, regelgeving en technische maatregelen.


Lex Borger
Security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB2-2025.