Van Mossel getroffen door cyberaanval

Een cyberaanval is een gerichte poging om digitaal toegang te krijgen tot systemen, gegevens of netwerken zonder toestemming.

Wanneer zo’n aanval zich richt op een organisatie met honderden vestigingen en duizenden medewerkers, ligt verstoring direct op de loer. Zeker als systemen onderling sterk verbonden zijn, en vertrouwen in updates, tools en koppelingen vanzelfsprekend is.

De recente aanval op Van Mossel laat zien hoe digitale dreigingen zich steeds slimmer verplaatsen binnen vertrouwde structuren en waarom snelle actie alleen niet genoeg is.

1. Cyberaanval Van Mossel ontregelt bedrijfsvoering

De Van Mossel cyberaanval is een actueel voorbeeld van hoe zelfs grote, gevestigde bedrijven kwetsbaar zijn voor digitale aanvallen. De dealerholding werd in december 2025 geconfronteerd met een doelgerichte poging tot hacking, waarbij aanvallers wisten door te dringen tot delen van het interne IT-netwerk. Hoewel het bedrijf snel ingreep en slechts een beperkt aantal servers werd geraakt, laat het incident zien hoe ver gevorderd en doelbewust cybercriminelen tegenwoordig opereren. De aanval op Van Mossel is niet alleen technisch interessant, maar vooral belangrijk vanwege de strategische keuzes die het bedrijf moest maken om verdere schade te beperken.

De kern van deze aanval ligt niet in technische complexiteit, maar in het verstoren van vertrouwen. Vertrouwen van klanten, medewerkers én leveranciers. De aanval roept directe vragen op over de digitale weerbaarheid van grote organisaties, zelfs wanneer ze snel handelen.

Snelle incidentrespons als strategische zet

Van Mossel besloot direct na de detectie van de aanval om meerdere systemen preventief offline te halen. Deze snelle respons is kenmerkend voor bedrijven die beschikken over duidelijke protocollen voor incidenten. Zo’n aanpak is niet vanzelfsprekend, maar vereist:

• Vooraf gedefinieerde draaiboeken voor cyberaanvallen
• Een getraind intern IT-team dat signalen kan herkennen en juist interpreteren
• Realtime monitoring van netwerkverkeer en afwijkend gedrag
• De mogelijkheid om onderdelen van het systeem snel en gecontroleerd los te koppelen

De impact van deze beslissing was groot: tijdelijk geen communicatie mogelijk, delen van de dienstverlening verstoord en verhoogde druk op de interne operatie. Maar tegelijkertijd heeft het waarschijnlijk erger voorkomen.

Een goede incidentrespons is slechts één kant van het verhaal. De vraag blijft: hoe heeft het zover kunnen komen?

Interne systemen en segmentatie

Veel grote organisaties maken gebruik van honderden servers, systemen en applicaties die onderling met elkaar verbonden zijn. Bij Van Mossel werd melding gemaakt van toegang tot drie van de 259 servers. Dat klinkt beperkt, maar het onderstreept dat zelfs een gedeeltelijke toegang al risico’s met zich meebrengt.

Effectieve netwerkscheiding is essentieel om schade te beperken als een aanval plaatsvindt. Zonder segmentatie kan een aanvaller zich eenvoudig verplaatsen tussen systemen. Moderne IT-infrastructuren vereisen daarom:

• Gescheiden netwerken voor kritieke en minder-kritieke systemen
• Beperkte toegangsrechten per medewerker en systeem
• Regelmatige controle op ongebruikelijke toegangspogingen
• Multifactor-authenticatie en logging op alle toegangspunten

Wanneer zulke maatregelen niet (of niet consequent) worden toegepast, vergroot dat de kans dat een gerichte aanval zich verspreidt binnen het netwerk.

Beperkte impact betekent niet geen risico

Hoewel Van Mossel aangaf dat het om een beperkte inbreuk ging, is het risico daarmee niet verdwenen. Het ontbreken van directe schade of zichtbaar misbruik betekent niet dat er geen data is gekopieerd of bekeken. Dit type hacking kan weken of zelfs maanden later alsnog leiden tot:

• Datalekken waarbij klantgegevens worden gepubliceerd of verkocht
• Social engineering op basis van gestolen interne informatie
• Ransomware-aanvallen met gebruik van eerder buitgemaakte toegangsrechten
• Manipulatie van interne systemen die pas veel later aan het licht komt

Zeker bij bedrijven die veel klantgegevens, contracten of financiële data verwerken, kunnen de gevolgen ver buiten het moment van de aanval reiken.

Vertrouwen van klanten onder druk

Een cyberaanval raakt niet alleen de IT-afdeling. Het tast het vertrouwen aan dat klanten hebben in de veiligheid van hun gegevens. Voor een merk als Van Mossel, met duizenden klanten en een sterke positie in de markt, kan imagoschade net zo schadelijk zijn als operationele schade.

Verlies van vertrouwen leidt tot:

• Verminderd klantbehoud, vooral bij zakelijke klanten met hoge eisen aan dataveiligheid
• Verscherpt toezicht van toezichthouders, zoals de Autoriteit Persoonsgegevens
• Negatieve media-aandacht die effect heeft op reputatie en merkwaarde
• Interne onrust onder medewerkers die zich afvragen of hun gegevens veilig zijn

Bedrijven die snel en transparant communiceren, zoals Van Mossel deed, kunnen het vertrouwen deels behouden, maar reputatieschade ligt altijd op de loer.

Invloed op samenwerking met externe leveranciers

Naast klanten kijken ook leveranciers en partners kritisch naar de beveiliging van hun zakelijke relaties. Na een cyberaanval kan een bedrijf te maken krijgen met strengere eisen in contracten, audits door partners of zelfs het verlies van samenwerkingen.

Dergelijke gevolgen ontstaan vooral wanneer er sprake is van:

• Onvoldoende openheid over wat er is gebeurd
• Geen structurele aanpassingen in de beveiligingsaanpak
• Reputatieverlies dat partners commercieel kan raken

De aanval op Van Mossel toont aan dat cybersecurity niet alleen een intern probleem is, maar een directe invloed heeft op de bredere zakelijke omgeving waarin een bedrijf opereert.

Complexiteit van detectie en analyse

Cyberaanvallen worden steeds moeilijker te herkennen in een vroeg stadium. Veel aanvallen starten met een korte, gerichte poging om toegang te krijgen, gevolgd door een periode van verkenning en spionage. Dat betekent dat de daadwerkelijke aanval pas veel later zichtbaar wordt.

Forensisch onderzoek na een aanval kost tijd. Bedrijven moeten terug in de logs, systemen analyseren en kijken wat exact is aangeraakt. Daarbij geldt:

• Detectie is niets waard zonder interpretatie en actie
• Elke minuut telt: vroege isolatie voorkomt verspreiding
• Geen enkel systeem mag worden vertrouwd zonder controle

In het geval van Van Mossel werd gemeld dat nog onduidelijk is of gegevens daadwerkelijk zijn buitgemaakt. Dit onderstreept de uitdaging: bewijs is niet altijd direct zichtbaar, en zekerheid kan dagen tot weken duren.

Lessen voor andere ondernemingen

De aanval op Van Mossel staat niet op zichzelf. Bedrijven in vrijwel alle sectoren worden geconfronteerd met toenemende digitale dreigingen. Vooral organisaties die werken met gevoelige klantdata, legacy-systemen of complexe netwerken lopen risico.

Wat deze casus leert, is dat preventie niet genoeg is. Digitale weerbaarheid vereist ook:

• Snelheid in besluitvorming onder druk
• Transparante communicatie, intern én extern
• Samenwerking met externe securityspecialisten
• Permanente monitoring en logging van systemen

Zonder deze aanpak blijft elke organisatie kwetsbaar, ongeacht de grootte of het beveiligingsbudget.

2. Vertrouwen als zwakste schakel bij hacking

De Van Mossel cyberaanval maakt zichtbaar hoe vertrouwen in digitale systemen een kwetsbare schakel is geworden. Niet alleen bij gebruikers, maar ook binnen bedrijven zelf wordt nog te vaak uitgegaan van de aanname dat wat bekend of vertrouwd is, ook veilig is. Die aanname vormt de kern van veel moderne vormen van hacking, waarbij cybercriminelen zich juist richten op systemen, updates of tools die als legitiem worden beschouwd.

Deze verschuiving in tactiek betekent dat aanvallers zich steeds minder richten op het direct binnendringen van een netwerk via brute kracht of phishing. In plaats daarvan wordt het vertrouwen zelf misbruikt als aanvalsvector. De aanval begint dan niet met een fout van een gebruiker, maar met een bewuste manipulatie van processen, certificaten of ketens die normaal als veilig worden gezien.

Supply chain aanvallen als structurele dreiging

Een supply chain aanval is gericht op het misbruiken van software of diensten van derden die door een organisatie worden vertrouwd. In plaats van het directe doelwit te hacken, compromitteren aanvallers eerst een schakel in de toeleveringsketen. Hierdoor wordt de schadelijke code of toegang via een legitieme bron binnengebracht.

Belangrijke kenmerken van deze aanpak:

• Aanvallers richten zich op softwareleveranciers, cloudproviders of veelgebruikte ontwikkeltools
• Schadelijke code wordt ingebed in updates, plug-ins of builds die door het doelwit zelf worden geïnstalleerd
• De aanval is moeilijk te detecteren omdat alles “lijkt te kloppen” vanuit beveiligingsperspectief
• Er is sprake van een lange aanlooptijd waarin de aanval zich ongemerkt ontwikkelt

Dit maakt supply chain aanvallen structureel gevaarlijk: ze ondermijnen de controle die bedrijven denken te hebben over hun eigen beveiliging.

Geverifieerde software als risicofactor

Vertrouwen in software ontstaat vaak op basis van verificatie via digitale handtekeningen, certificaten of de herkomst uit een officiële app store. Aanvallers hebben echter manieren gevonden om dit vertrouwen te ondermijnen. Updates met geldige certificaten kunnen besmet zijn, en zelfs tools die jarenlang betrouwbaar leken, kunnen plotseling kwaadaardig worden zodra ze overgenomen worden of via omwegen worden gemanipuleerd.

Voorbeelden van hoe dit misgaat:

• Overname van browser-extensies door malafide ontwikkelaars
• Inbraak in de update-infrastructuur van populaire applicaties
• Uitgifte van valse of gestolen certificaten die legitiem lijken
• Injectie van schadelijke code in build-omgevingen van software

Deze werkwijze verandert het speelveld fundamenteel: het aanvallen van vertrouwen is effectiever dan het aanvallen van firewalls.

Automatische updates als ongezien toegangspunt

Veel software is tegenwoordig zo ingericht dat updates automatisch worden geïnstalleerd. Dit verhoogt de gebruiksvriendelijkheid en zorgt ervoor dat beveiligingspatches snel worden toegepast. Maar deze automatische processen vormen ook een ideale toegangspoort voor aanvallers.

Zodra een updateproces eenmaal wordt misbruikt, kan malware zich verspreiden zonder tussenkomst van gebruikers of IT-personeel. Dit maakt het detecteren en stoppen van de aanval veel lastiger.

Risico’s van automatische updates:

• Updates worden als veilig beschouwd zonder controle vooraf
• Gebruikers merken zelden op wanneer er iets ongebruikelijks gebeurt
• IT-afdelingen vertrouwen op leveranciers, wat het toezicht vermindert
• Bij besmetting verspreidt de malware zich razendsnel binnen netwerken

Organisaties hebben hierdoor weinig controle over wat zich daadwerkelijk afspeelt binnen hun systemen, tenzij er extra monitoring en validatie is ingebouwd.

Verlies van zicht op software-integriteit

Een bijkomend gevolg van vertrouwen als aanvalspunt is het verlies van grip op de eigen softwareketen. Veel bedrijven gebruiken tientallen tot honderden externe componenten, bibliotheken of tools in hun digitale infrastructuur. Inzicht in de herkomst en integriteit van deze onderdelen ontbreekt vaak.

Zonder controle over de softwareketen ontstaan zwakke plekken zoals:

• Gebrek aan inventarisatie van gebruikte softwarecomponenten
• Geen logging of controle op veranderingen in de softwareomgeving
• Onvoldoende gescheiden omgevingen voor ontwikkeling, testen en productie
• Vertrouwen op leveranciers zonder onafhankelijke validatie

Het resultaat: een digitale omgeving die complex is, maar onvoldoende gecontroleerd wordt, met als gevolg een verhoogd aanvalsoppervlak.

Waarom traditionele beveiliging tekortschiet

Traditionele cybersecurity-oplossingen zoals firewalls, antivirus of endpoint detection zijn ontworpen om externe dreigingen buiten te houden. Maar wanneer een aanval zich voordoet via vertrouwde processen of leveranciers, werken deze beschermingslagen nauwelijks. Ze herkennen geen afwijking, omdat de aanval “legitiem” oogt.

Dit is vooral zichtbaar bij:

• Malware die met geldige certificaten wordt ondertekend
• Aanvallen via legitieme software-onderdelen met kwaadaardige functies
• Manipulatie van bestaande tools zonder detecteerbare anomalieën

De klassieke strategie van detectie op basis van afwijking faalt wanneer de aanval precies datgene misbruikt dat normaal als ‘normaal gedrag’ wordt gezien.

Structurele maatregelen tegen vertrouwensaanvallen

Om digitale weerbaarheid te verhogen tegen deze vorm van hacking, zijn structurele maatregelen nodig die verder gaan dan technische oplossingen. Het vereist een fundamentele verandering in hoe organisaties omgaan met vertrouwen in digitale systemen.

Aanbevelingen voor een veiligere benadering:

• Implementeer zero trust op alle niveaus, ook binnen interne systemen
• Voer onafhankelijke code-audits uit op gebruikte software en updates
• Documenteer en beheer de volledige software supply chain
• Gebruik runtime-monitoring om gedrag van software live te controleren
• Scheid ontwikkel-, test- en productieomgevingen strikt van elkaar

Zonder deze aanpak blijft elk systeem kwetsbaar, zelfs als het er veilig uitziet.

3. Geïnfecteerde applicaties ondermijnen digitale veiligheid

De Van Mossel cyberaanval toonde hoe een beperkte inbraak op enkele servers al leidt tot brede operationele verstoring. Wat daarbij niet direct zichtbaar is, maar wel relevant, is het onderliggende risico van besmette software en tools die in veel bedrijfsnetwerken worden gebruikt. In sectoren zoals automotive, waar grote aantallen applicaties, interfaces en diagnostische systemen samenwerken, vormt het misbruik van vertrouwde tools een toenemend beveiligingsrisico.

Deze vorm van hacking richt zich niet op brute toegang, maar op het verspreiden van schadelijke code via software die normaal als veilig wordt beschouwd. De dreiging gaat verder dan e-mail of firewalls: het zit in de softwareketen zelf, van apps tot plug-ins en ontwikkeltools die dagelijks gebruikt worden binnen IT-omgevingen zoals bij Van Mossel.

Software in bedrijfsomgevingen als toegangspoort

Dealerholdings zoals Van Mossel maken gebruik van gespecialiseerde software voor planning, facturatie, klantbeheer, onderhoudsregistratie en voertuigdiagnostiek. Deze tools zijn vaak afkomstig van externe leveranciers, die updates en patches regelmatig automatisch uitrollen. Wanneer één van deze leveranciers wordt gecompromitteerd, kan schadelijke code zich via een legitiem kanaal verspreiden binnen het netwerk van de organisatie.

Mogelijke risicovolle componenten binnen een automotive IT-omgeving:

• Werkplaatssoftware gekoppeld aan voertuigsensoren
• Remote diagnostic tools via externe verbindingen
• API’s voor communicatie tussen systemen en partners
• Plug-ins binnen CRM- en ERP-platforms
• Software die draait op shared servers of terminalomgevingen

Een aanval via een geïnfecteerde tool zou dus ongemerkt kunnen binnenkomen, zonder directe menselijke fout. Dat maakt deze methode bijzonder effectief én moeilijk te detecteren.

Buildsystemen en updatekanalen als kwetsbaar punt

Buildsystemen, de infrastructuur waarin software wordt samengesteld en klaargemaakt voor uitrol, vormen een zwakke schakel. Wordt daar eenmaal schadelijke code ingesloten, dan komt die via officiële updates bij klanten terecht. In de context van een bedrijf als Van Mossel, met honderden systemen verspreid over vestigingen, zou één besmette update potentieel tientallen locaties raken.

Aanvallers richten zich bij voorkeur op:

• Softwareleveranciers met veel zakelijke klanten
• Tools die automatisch verbinding maken met externe netwerken
• Cloudgebaseerde diensten zonder klant-specifieke validatie
• CI/CD-pijplijnen waar geen extra controle op plaatsvindt

Bij dergelijke aanvallen is de verspreiding stil, structureel en vaak pas na weken of maanden zichtbaar.

Kwetsbaarheid van browser-extensies in werkplekomgevingen

Veel medewerkers in de zakelijke sector gebruiken browser-extensies voor productiviteit, communicatie of integraties met interne systemen. Deze extensies hebben vaak brede permissies, bijvoorbeeld om wachtwoorden op te slaan of scherminhoud te lezen. Wanneer een populaire extensie wordt overgenomen door kwaadwillenden, of wordt voorzien van een schadelijke update, kan deze eenvoudig data verzamelen of manipuleren.

Toepassingen in de praktijk:

• Browser-extensie die voertuigdata koppelt aan klantendossiers
• Plug-in voor e-mailintegratie met het CRM-systeem
• Tool voor planning of externe bestandsdeling

Een geïnfecteerde extensie in zo’n context kan toegang krijgen tot klantinformatie, interne communicatie of zelfs gevoelige contractdata, zonder dat dit direct wordt opgemerkt.

Mobiele apps in de automotive-sector

Naast vaste werkplekken spelen mobiele apps een steeds grotere rol binnen dealerbedrijven. Denk aan apps voor monteurs die onderhoudsdata registreren, of klantenapps waarmee afspraken worden gemaakt en offertes worden bekeken. Deze apps communiceren met centrale servers en backend-systemen. Als een aanvaller toegang weet te krijgen tot het updatekanaal of de app zelf weet te infecteren, kan dit de hele keten raken.

Risico’s van besmette mobiele toepassingen:

• Data-exfiltratie via gebruikersapps of monteurstools
• Injectie van kwaadaardige scripts bij push-updates
• Manipulatie van klantdata of werkplaatsinformatie
• Verzameling van locatie- en netwerkgegevens van medewerkers

Deze vectoren maken gebruik van het vertrouwen in mobiele apps als verlengstuk van het bedrijfssysteem, waarbij controle vaak ontbreekt.

Verborgen dreiging door automatische updates

In bedrijfsnetwerken waar updates automatisch verlopen, ontbreekt vaak een controlelaag voordat nieuwe software wordt uitgerold. Wanneer een update legitiem lijkt en afkomstig is van een vertrouwde bron, zal deze automatisch worden toegepast. Daardoor kunnen besmettingen zich ongezien verspreiden.

Gevaren van ongecontroleerde updates binnen organisaties:

• Geen handmatige goedkeuring vooraf
• Directe installatie op meerdere vestigingen
• Risico op sabotage of datadiefstal via externe software
• Misbruik van remote beheerfuncties

In een omgeving zoals Van Mossel, waar meerdere vestigingen en IT-systemen centraal verbonden zijn, is het risico van snelle verspreiding reëel.

Strategische afhankelijkheden van externe softwareleveranciers

Veel dealerholdings werken met een beperkt aantal gespecialiseerde softwareleveranciers. Dit creëert afhankelijkheden die vaak buiten de controle van de organisatie liggen. Wanneer een leverancier kwetsbaar is, wordt het risico direct doorvertaald naar de gehele klantomgeving.

Voorbeelden van kwetsbare afhankelijkheden:

• Centralisatie van softwareontwikkeling bij één leverancier
• Geen transparantie over build- of updateprocessen
• Onvoldoende contractuele afspraken over securitypraktijken
• Slechte logging of monitoring aan de leverancierskant

De aanval hoeft dus niet bij het bedrijf zelf te beginnen — een lek bij een leverancier kan voldoende zijn voor toegang tot kritieke systemen.

Praktische maatregelen binnen de sector

Om besmette tools en apps te weren, moeten organisaties structureel anders kijken naar softwarebeheer. Het begint bij het loslaten van blind vertrouwen en het invoeren van extra controlemechanismen.

Aanbevolen stappen voor bedrijven in automotive en vergelijkbare sectoren:

• Segmentatie van netwerken om verspreiding te beperken
• Validatie van updates voordat deze live worden gezet
• Monitoring op gedrag van applicaties, niet alleen op basis van bron
• Regelmatige audits van gebruikte extensies, apps en plug-ins
• Heldere afspraken met leveranciers over security by design

Digitale weerbaarheid vraagt niet alleen om technische bescherming, maar vooral om bewust beleid rondom de inzet van software, ook als die software afkomstig is van een vertrouwde bron.

4. API-koppelingen tussen systemen als ingang voor aanvallers

De aanval op Van Mossel toont hoe digitale infrastructuren kwetsbaar worden wanneer meerdere systemen onderling verbonden zijn. Dealerholdings zoals Van Mossel gebruiken uiteenlopende softwareoplossingen voor planning, klantbeheer, facturatie, werkplaatsregistratie en communicatie met autofabrikanten. Om deze platformen efficiënt te laten samenwerken, worden ze gekoppeld via API’s: digitale toegangspunten waarmee applicaties gegevens met elkaar kunnen uitwisselen.

Deze koppelingen vormen in moderne bedrijfsnetwerken een belangrijk functioneel onderdeel, maar zijn ook een risico. Wanneer één systeem wordt gecompromitteerd,zoals in het geval van Van Mossel — kunnen slecht beveiligde API’s een brug vormen naar andere interne systemen. Juist die connectiviteit, bedoeld om bedrijfsprocessen soepel te laten verlopen, kan door aanvallers worden benut om zich door het netwerk te verplaatsen zonder dat dit direct wordt opgemerkt.

Digitale verbondenheid binnen automotive IT-structuren

Van Mossel beheert een complex IT-landschap waarin verkoop, onderhoud, logistiek en klantcommunicatie samenkomen. Elk van deze domeinen maakt gebruik van aparte software. Denk aan:

• Dealer Management Systemen (DMS)
• Werkplaatsplanningstools
• Digitale handtekeningplatformen
• Voorraadbeheer gekoppeld aan importeurs
• Online klantportalen

Deze systemen communiceren via API’s om real-time data op elkaar af te stemmen. Hierdoor kan bijvoorbeeld een wijziging in een afspraak automatisch zichtbaar worden in het werkplaatssysteem én het klantdashboard. Voor de gebruiker is dat efficiënt. Voor aanvallers vormt het echter een netwerk van digitale doorgangen.

Misbruik van API’s bij laterale beweging

Zodra aanvallers, zoals vermoedelijk in het geval van Van Mossel, toegang verkrijgen tot een server, zoeken ze naar manieren om zich verder te verplaatsen binnen het netwerk. Slecht beveiligde API’s maken dit eenvoudig, vooral wanneer:

• API’s zijn ontworpen zonder toegangsbeperking op IP-niveau
• Authenticatie ontbreekt of is gebaseerd op vaste tokens
• Logbestanden van API-aanroepen niet worden gemonitord
• Er geen rate limiting of gedragsanalyse wordt toegepast

Met toegang tot een legitieme server kunnen aanvallers API-verzoeken simuleren richting andere systemen, alsof ze onderdeel zijn van het normale verkeer. Hierdoor ontstaat een onzichtbare route naar waardevolle data of meer controle.

Interne API’s vaak zonder zicht of toezicht

Veel organisaties richten hun beveiligingsstrategie vooral op externe dreigingen. Externe API’s worden soms nog beschermd met gateways en logging. Interne API’s — die alleen binnen het netwerk beschikbaar zijn — krijgen zelden dezelfde aandacht.

In de praktijk betekent dit:

• Onvoldoende encryptie van interne API-verkeer
• Hergebruik van API-sleutels tussen omgevingen
• Gebrek aan toegangscontrole op microservice-niveau
• Onvolledige documentatie of monitoring van endpoints

Een aanvaller met toegang tot één server kan zonder obstakels communiceren met interne systemen via deze API’s. Voor een infrastructuur als die van Van Mossel, met honderden systemen verdeeld over meerdere locaties, is dit een ernstig risico.

Automotive-specifieke kwetsbaarheden

Binnen de automotive sector zijn API-koppelingen niet alleen functioneel, maar soms ook verplicht. Fabrikanten eisen dat dealers periodiek data terugsturen over voertuigen, onderhoud, garanties en klantinteracties. Deze interfaces worden vaak gebouwd door externe leveranciers, met wisselende kwaliteitsstandaarden.

Specifieke risico’s:

• Koppelingen met fabrikanten of importeurs die onvoldoende beveiligd zijn
• Verouderde interfaces zonder encryptie of moderne authenticatie
• Externe toegang tot interne systemen via foutief geconfigureerde API’s
• Onbedoelde data-exposure van klant- of voertuiggegevens via open endpoints

Aanvallers kunnen deze koppelingen misbruiken om toegang te krijgen tot klantinformatie, voertuiggeschiedenis, contractgegevens of zelfs operationele planningen.

Indicatoren van zwakke API-beveiliging binnen een organisatie

In netwerken zoals die van Van Mossel zijn er duidelijke signalen die kunnen wijzen op zwakke plekken in API-beveiliging:

• Geen centrale documentatie of inventaris van actieve API’s
• Geen onderscheid tussen ontwikkel-, test- en productie-API’s
• Geen time-based of session-based tokens voor toegang
• Geen API firewalls of verkeersegmentatie toegepast

Wanneer dit soort situaties bestaan, is het risico reëel dat een aanvaller — eenmaal binnen — met weinig moeite toegang krijgt tot meerdere onderdelen van het netwerk via API-verzoeken die niet worden herkend als verdacht.

Praktische stappen richting betere API-veiligheid

Om de kans op interne verspreiding via API’s te beperken, moeten organisaties als Van Mossel inzetten op zichtbaarheid, controle en beperking.

Aanbevolen maatregelen:

• API-inventarisatie: breng alle actieve API’s in kaart, inclusief intern gebruik
• Authenticatie op meerdere niveaus: tokens combineren met IP-controles en session limits
• Logging en monitoring: volg afwijkend gedrag in API-verkeer met realtime alerts
• Versleuteling: versleutel alle interne en externe API-communicatie, ook intern binnen het datacenter
• Rate limiting en throttling: voorkom misbruik door limieten op te leggen aan het aantal verzoeken

Door API’s niet als interne “snelwegen” te behandelen, maar als toegangspoorten die individueel bewaakt en beheerd moeten worden, verkleint een organisatie het risico op laterale beweging na een inbraak.

5. Nieuwe aanpak voor digitale weerbaarheid

De cyberaanval op Van Mossel heeft niet alleen operationele risico’s blootgelegd, maar ook structurele zwakheden in de manier waarop bedrijven omgaan met digitale veiligheid. Ondanks snelle actie door het IT-team en het beperkt blijven van de directe schade, toont het incident hoe snel een gerichte aanval gevolgen kan hebben voor bedrijfsvoering, klantvertrouwen en informatieveiligheid.

Om herhaling te voorkomen en bredere schade bij toekomstige aanvallen te beperken, is een andere benadering van beveiliging nodig.

Geen controle achteraf, maar weerbaarheid als uitgangspunt.

Digitale weerbaarheid betekent dat systemen, mensen en processen zo zijn ingericht dat ze aanvallen kunnen opvangen, begrenzen en herstellen zonder dat de hele organisatie stilvalt. Daarvoor is meer nodig dan firewalls of antivirus: het vereist een fundamentele verschuiving in hoe organisaties zoals Van Mossel hun IT-infrastructuur ontwerpen en beheren.

Van vertrouwen naar verificatie: zero trust als strategie

Het traditionele model van netwerkbeveiliging vertrouwt op de omtrek: alles binnen het bedrijfsnetwerk wordt gezien als veilig. De aanval bij Van Mossel laat zien dat dit model achterhaald is. Zodra een aanvaller binnenkomt, kan die zich vrij bewegen als er geen aanvullende controles zijn.

Een zero trust model gaat uit van het tegenovergestelde: niets of niemand wordt automatisch vertrouwd, ook niet binnen het netwerk. Elke toegangspoging moet worden gecontroleerd, geverifieerd en gelogd.

Kernprincipes van zero trust:

• Geen impliciet vertrouwen op basis van locatie of apparaat
• Verificatie op basis van identiteit, gedrag en context
• Beperkingen op wat gebruikers of systemen mogen doen
• Continue monitoring en evaluatie van activiteiten

Voor een organisatie zoals Van Mossel, met honderden servers, vestigingen en gebruikers, biedt dit model een schaalbare manier om de kans op misbruik drastisch te verlagen.

Netwerksegmentatie om schade te beperken

Tijdens de aanval op Van Mossel werden slechts drie servers getroffen, maar alle 259 systemen moesten worden nagekeken. Dit toont aan dat interne netwerken waarschijnlijk breed toegankelijk zijn binnen de organisatie. Segmentatie maakt het mogelijk om schade te isoleren.

Wat segmentatie inhoudt:

• Verdeling van het netwerk in afzonderlijke zones met eigen toegangsregels
• Beperkingen op verkeer tussen afdelingen, systemen en locaties
• Blokkades tussen omgevingen zoals ontwikkeling, test en productie
• Toepassing van microsegmentatie binnen cloudomgevingen

Met goede segmentatie kan een besmette server niet zomaar communiceren met andere kritieke systemen, waardoor escalatie wordt voorkomen.

Monitoring en logging als actieve verdedigingslaag

Zonder inzicht in wie wat doet op welk moment, blijft een organisatie blind voor interne bewegingen van aanvallers. Realtime monitoring en logging maken detectie mogelijk voordat schade ontstaat.

Bij Van Mossel werd het incident snel opgemerkt, wat wijst op aanwezige detectiemechanismen. Maar in veel vergelijkbare organisaties ontbreekt diepgaande monitoring nog.

Wat effectieve monitoring inhoudt:

• Realtime logging van alle API-aanroepen, systeemtoegang en netwerkverkeer
• Detectie van afwijkend gedrag op basis van historische patronen
• Alerts bij ongebruikelijke loginpogingen of data-overdracht
• Integratie van logdata met SIEM-platformen of security-oplossingen

Door zicht te hebben op wat er gebeurt — ook tussen vertrouwde systemen — wordt het mogelijk om in te grijpen voordat een aanval zich uitbreidt.

Gedwongen scheiding van ontwikkel- en productiesystemen

In eerdere hoofdstukken werd al duidelijk dat ontwikkeltools, scripts en buildprocessen een potentieel toegangspunt vormen. Wanneer ontwikkelomgevingen niet goed gescheiden zijn van live systemen, kunnen aanvallers die route gebruiken om code te injecteren of achterdeuren te plaatsen.

Belangrijke maatregelen:

• Geen hergebruik van accounts of wachtwoorden tussen omgevingen
• Fysieke of logische scheiding van netwerken voor ontwikkeling en productie
• Alleen geverifieerde code mag naar productie worden gepusht
• Verplichte peer reviews en build signing binnen het CI/CD-proces

Voor Van Mossel en vergelijkbare bedrijven betekent dit dat ook software van externe leveranciers pas na controle mag worden uitgerold, vooral als die tools communicatie verzorgen met klant- of voertuigdata.

Menselijke factor en organisatorisch bewustzijn

Digitale weerbaarheid gaat niet alleen over techniek. Ook medewerkers spelen een rol in het voorkomen van schade. Bewust omgaan met inloggegevens, meldingen serieus nemen en verdachte activiteit rapporteren is essentieel, vooral in grote organisaties zoals Van Mossel waar veel mensen dagelijks toegang hebben tot gevoelige systemen.

Concrete stappen:

• Regelmatige training over actuele dreigingen en veilig gedrag
• Simulaties van phishing of interne incidenten
• Duidelijke meldprocedures bij afwijkend systeemgedrag
• Beperking van toegangsrechten tot het strikt noodzakelijke

Zonder bewust gedrag vormen zelfs de beste technische oplossingen onvoldoende bescherming tegen aanvallen van buitenaf — of van binnenuit.

Aanpak op directieniveau: security als integraal onderdeel van bedrijfsstrategie

De reactie van Van Mossel na de aanval was snel, professioneel en transparant. Toch laat het incident zien dat cybersecurity een structureel onderdeel moet zijn van risicomanagement en directiebesluitvorming. Niet als IT-thema, maar als bedrijfsrisico.

Elementen van strategische integratie:

• Security betrokken bij alle digitale transformatieprojecten
• Jaarlijkse board-level risicoanalyse op cyberdreiging
• Contractuele eisen aan leveranciers op het gebied van beveiliging
• Periodieke penetratietests en security-audits

Digitale weerbaarheid is pas effectief wanneer het breed gedragen wordt binnen de organisatie, van werkvloer tot bestuur. Digitale weerbaarheid is pas effectief wanneer het breed gedragen wordt binnen de organisatie, van werkvloer tot bestuur.

Een laagdrempelige Training Digitale Weerbaarheid helpt medewerkers herkennen wat normaal is en wat niet. Het vergroot niet alleen bewustzijn, maar maakt van elke medewerker een extra verdedigingslaag. Door praktijkgerichte voorbeelden, duidelijke instructies en herkenbare situaties wordt cyberveilig gedrag vanzelfsprekend en dat is precies wat nodig is om aanvallen vroegtijdig te stoppen.

De 10 belangrijkste takeaways

De aanval op Van Mossel laat zien hoe kwetsbaar grote organisaties worden wanneer digitale processen, leveranciers en interne systemen sterk met elkaar verweven zijn. De casus toont dat snelle actie schade kan beperken, maar ook dat structurele verbeteringen noodzakelijk zijn om toekomstige incidenten te voorkomen.

De inzichten hieronder geven een breder beeld van wat deze aanval betekent voor organisaties die afhankelijk zijn van complexe IT‑omgevingen.

1. Een gerichte aanval kan binnen enkele minuten operationele processen raken
De inbraak bij Van Mossel maakte duidelijk dat zelfs beperkte toegang tot enkele servers direct leidt tot verstoring van dienstverlening. Een snelle reactie voorkomt escalatie, maar onderliggende kwetsbaarheden blijven bestaan.

2. Hacking richt zich steeds vaker op vertrouwde systemen en processen
De aanval onderstreept dat criminelen niet langer alleen zoeken naar traditionele ingangen, maar juist misbruik maken van systemen die intern volledig vertrouwd worden. Dit verschuift het risico naar plekken waar weinig controle is.

3. API-koppelingen vormen een reële route voor laterale beweging binnen een netwerk
De infrastructuur van Van Mossel bestaat uit talloze gekoppelde systemen, waardoor één getroffen onderdeel toegang kan geven tot andere interne systemen. API-beveiliging bepaalt daarom hoe ver aanvallers kunnen komen.

4. Beperkte toegang betekent niet dat er geen informatie is ingezien of gekopieerd
Hoewel slechts enkele servers direct waren geraakt, kan data-exfiltratie plaatsvinden zonder zichtbare sporen. Onzekerheid over datadiefstal benadrukt het belang van grondige forensische analyse.

5. Snelle isolatie van systemen is een krachtig middel om schade te beperken
Het offline halen van delen van de infrastructuur was een juiste stap. Deze aanpak laat zien dat voorbereid incidentmanagement essentieel is om te voorkomen dat een aanval zich verspreidt.

6. Interne segmentatie bepaalt hoe groot een aanval kan worden
De noodzaak om 259 servers na te lopen toont dat interne afscherming nog onvoldoende was. Zonder segmentatie blijven organisaties kwetsbaar voor netwerkbrede risico’s.

7. Externe leveranciers kunnen een zwakke schakel in het verdedigingsmodel zijn
Van Mossel werkt met diverse softwareleveranciers, wat afhankelijkheid creëert. Iedere koppeling of updateketen kan een toegangspunt vormen wanneer er onvoldoende controle is.

8. Monitoring en logging zijn bepalend voor het vroeg herkennen van een aanval
De snelle detectie bij Van Mossel wijst op aanwezige monitoring, maar diepere zichtbaarheid is nodig om subtielere aanvallen te herkennen die niet direct operationele verstoring veroorzaken.

9. Transparante communicatie verkleint de reputatieschade
Het bedrijf communiceerde snel over de situatie, wat het vertrouwen van klanten en partners helpt te behouden. Het toont dat openheid onderdeel is van effectieve crisisbeheersing.

10. Digitale weerbaarheid moet een structurele bestuursverantwoordelijkheid zijn
De aanval leert dat cybersecurity niet alleen technisch is. Directieniveau moet betrokken zijn bij risico-inschattingen, budgettering en beleidskeuzes om toekomstige incidenten beheersbaar te houden.