Wat de hack bij Scandinavian Airlines ons kan leren
Scandinavian Airlines (SAS) is in 2023 slachtoffer geweest van een cyberaanval. De hack heeft ertoe geleid dat de website en de mobiele applicatie om boekingen te kunnen maken er uren heeft uitgelegen. Bovendien is het gedurende enkele uren nadat de systemen weer online kwamen mogelijk geweest voor klanten om data van andere klanten in te kunnen zien, waaronder creditcardgegevens, boekingsdata en volledige adresinformatie.
Wie was de aanvaller achter de hack en wat was het motief?
We kunnen ons voorstellen dat het voor de meeste medewerkers en klanten van Scandinavian Airlines (of welke andere luchtvaartmaatschappij dan ook) onbelangrijk is om te weten wie de aanvaller was. Vanuit het perspectief van een securityteam is het echter cruciaal om dit te weten, we zien immers vaak dat bepaalde aanvalsgroeperingen het op specifieke industrieën gemunt hebben. Op deze manier kunnen zij zich specialiseren en hun aanvallen elke keer weer verbeteren.
De groep die de hack op Scandinavian Airlines heeft opgeëist heet Anonymous Sudan. deze groep claimt dat ze bekend staan om aanvallen uit te voeren met een politiek gekleurd motief, in dit geval was het ‘klimaat gedreven’. We noemen dit in de securityindustrie ‘hacktivists of hacktivisten’. De specialiteit van deze groepering is het uitvoeren van DDoS-aanvallen. Dit zijn aanvallen die ervoor zorgen dat systemen van het slachtoffer (tijdelijk) onbruikbaar zijn.
Urenlang zijn er geen nieuwe tickets verkocht en waren systemen onbruikbaar, enige impact en financiële schade is dus zeker aangericht. De aanval was dus succesvol te noemen vanuit het perspectief van Anonymous Sudan.
Wat kunnen we van de hack leren?
Wat Scandinavian Airlines goed heeft gedaan is dat zij direct met een statement zijn gekomen. Tegelijkertijd wordt de aanval enigszins gebagatelliseerd in hun statement door te stellen dat er verder geen data gestolen is en dat ze passagiers geruststellen dat er niets uit de data kan worden buitgemaakt.
Vooral dit laatste is riskant omdat men de onderzoeken nog niet volledig heeft afgerond en men niet kan garanderen dat er geen data in verkeerde handen is gekomen.
Kan een andere vliegtuigmaatschappij ook slachtoffer worden?
Natuurlijk kan een andere vliegmaatschappij dit ook overkomen. De vraag stellen is hem beantwoorden. Wel kan men de kansen dat hackers succesvol zijn tot een minimum beperken door:
- Collega-luchtvaartbedrijven over de hele wereld goed in de gaten te houden over wat er gaande is op het vlak van cyber.
- Systemen continu te monitoren op ‘verdachte verkeersstromen’.
- Verdachte zaken direct te melden aan de juiste (security) afdeling.
- DDoS-aanvallen gaan vaak gepaard met traagheid of onbereikbaarheid van systemen. Het melden hiervan bij de juiste afdeling is daarom cruciaal.
Het is belangrijk om te weten dat hackers vaak de onoplettendheid van medewerkers gebruiken om hun aanvallen succesvol uit te voeren.
Hoe kan ik als eindgebruiker een DDOS-aanval herkennen?
Als eindgebruiker merk je bijvoorbeeld dat de internetverbinding traag is of niet reageert. Ook kan het zijn dat het systeem waar je op werkt moeite heeft om toegang te krijgen tot websites, onlinediensten en bedrijfsapplicaties. Dit kunnen tekenen zijn van een mogelijke DDoS-aanval (Distributed Denial of Service).
Je kan ook controleren of andere gebruikers hetzelfde probleem ondervinden. Als je vermoedt dat een DDoS-aanval in gang is gezet is het belangrijk dat je niet op verdachte links klikt of bestanden van onbekende bronnen downloadt, omdat deze deel kunnen uitmaken van de aanval. Meld bij twijfel je vermoedens direct bij de juiste afdeling.
Weet je niet welke afdeling dit is, dan is het zaak om daar zo snel mogelijk achter te komen. Hiervoor kun je terecht bij jouw supportafdeling of de helpdesk.
Conclusie
Securityteams moeten proberen te achterhalen wie een aanvaller is, aangezien bepaalde aanvalsgroeperingen zich kunnen richten op specifieke industrieën.
Luchtvaartmaatschappijen kunnen de kans op een succesvolle aanval minimaliseren door in de gaten houden wat er bij de concurrenten of partners gebeurt. Daarnaast is het van belang dat collega’s weten wat verdachte activiteiten zijn en bij welke afdeling zij deze moeten melden.