Hack op Nederlandse flitscamera’s legt kwetsbaarheid in digitale keten bloot
In augustus vielen tientallen Nederlandse flitscamera’s en trajectcontrolesystemen uit door een cyberaanval. Aanvankelijk leek het een technisch probleem met apparatuur langs de weg, maar al snel werd duidelijk dat de oorzaak dieper lag: back-end systemen die door het Openbaar Ministerie en leveranciers worden beheerd. Deze systemen verwerken de data van camera’s en zijn via beveiligde verbindingen (vaak VPN-tunnels of API-koppelingen) direct gekoppeld aan de apparatuur langs de snelwegen. Toen de back-end werd geraakt, vermoedelijk via misbruik van toegangsaccounts of kwetsbare remote toegang, konden camera’s geen gegevens meer verzenden en vielen ze uit. Patrick Jordens van The Trusted Third Party (TT3P) gaat in deze blog er nader op in en welke lessen uit deze cyberaanval kunnen worden gekeerd.
Geen aanval op de camera, maar de infrastructuur
Opvallend is dat de aanval niet gericht was op de fysieke camera’s, maar op de digitale laag erachter. Het ging om de infrastructuur die ervoor zorgt dat de camera’s functioneren. Daarmee werd duidelijk dat een relatief eenvoudige aanval grote impact kan hebben, juist door de verwevenheid van IT- en OT-systemen.
Hoe kon dit gebeuren?
Een terugkerend patroon bij OT-incidenten is kwetsbare remote toegang. Veel leveranciers werken nog met statische beheeraccounts of verouderde VPN-oplossingen die onvoldoende gesegmenteerd zijn. Een enkele zwakke configuratie kan daardoor toegang geven tot een hele keten. In vergelijkbare casussen, zoals de aanval op de Colonial Pipeline in de VS (2021) en de hack op een waterzuiveringsinstallatie in Florida (2021), bleek remote beheer vaak het startpunt van de aanval.
Daarnaast is de scheidslijn tussen IT en OT in de praktijk dun. Flitssystemen draaien bijvoorbeeld op embedded Linux en worden centraal beheerd via IT-platforms. Een kwetsbaarheid in een IT-omgeving kan daardoor direct effect hebben op fysieke OT-processen.
De keten is complexer dan gedacht
De operationele keten bestaat uit overheid, leveranciers, netwerkbeheerders en cloudpartijen. Elk onderdeel heeft zijn eigen protocollen en beheerprocessen. In Nederland is die OT-omgeving bovendien versnipperd: verschillende leveranciers gebruiken uiteenlopende standaarden en beheerlagen. Dat maakt consistente beveiliging lastig en vergroot de kans dat één zwakke schakel de hele keten raakt.
Waarom dit incident ertoe doet
Het flitscamera-incident staat niet op zichzelf. Over de hele wereld worden OT-systemen vaker doelwit: van energievoorziening en waterbeheer tot fabriekslijnen en medische apparatuur. De reden is niet dat deze systemen extra interessant zijn, maar dat hun beveiliging historisch gezien achterloopt op reguliere IT-omgevingen. De impact van een verstoring is daarentegen vaak groot.
Nederland kent daarnaast een sterk versnipperde OT-omgeving, met uiteenlopende leveranciers, protocollen en beheerlagen. Dat maakt consistente beveiliging uitdagend.
Wat organisaties hiervan kunnen leren
Wij zien in zijn werk dat organisaties hun eigen systemen vaak goed in beeld hebben, maar dat zicht op ketenafhankelijkheden achterblijft. Volgens TT3P vormt juist dat gebied de komende jaren de grootste uitdaging. Systemen worden volwassen, maar de verbindingen ertussen niet altijd. Daarmee verschuift kwetsbaarheid van techniek naar keten.
Ook zien wij dat kleinere organisaties steeds aantrekkelijker worden voor aanvallers. Niet omdat zij als individueel doelwit bijzonder interessant zijn, maar omdat zij onderdeel zijn van een keten. Een organisatie met twintig medewerkers kan toegang geven tot de systemen van honderden andere partijen. Daarmee wordt niet de organisatie zelf, maar haar toegang tot de keten het waardevolle doelwit.
Houd IT en OT strikt gescheiden
Wanneer deze domeinen in dezelfde omgeving draaien, kan een aanval op IT directe gevolgen hebben voor fysieke processen. Segmentatie en moderne toegangsmodellen (zoals zero trust) worden daarmee essentieel.
Remote toegang vraagt om volwassen beveiliging
Veel incidenten beginnen bij externe toegang: oude VPN-tunnels, beheeraccounts of ongepatchte systemen aan de rand van het netwerk. Dit zijn geen randverschijnselen, maar plekken waar aanvallers doelbewust zoeken naar zwakke configuraties.
Monitoring ook toepassen op OT
Veel OT-systemen zijn technisch stabiel maar worden niet actief gemonitord. Een aanvaller die zich in zo’n netwerk bevindt, kan daardoor langer onopgemerkt blijven. Door OT net zo serieus te monitoren als IT, worden afwijkingen veel eerder zichtbaar.
Cybersecurity vraagt om continuïteit
Bij dit incident was geen sprake van één technische fout, maar van een samenloop van afhankelijkheden, verouderde componenten en complexe beheerprocessen. Dit laat zien dat beveiliging geen project is, maar een continu proces.
De verschuiving van risico’s in digitale ketens
De hack op de Nederlandse flitscamera’s gaat niet alleen over verkeershandhaving. Het laat zien hoe sterk organisaties, publiek en privaat, afhankelijk zijn geworden van digitale ketens, ook wanneer die fysieke systemen aansturen. Die ketens worden het nieuwe aanvalsvlak.
De les is niet dat “alles kwetsbaar is”, maar dat risico’s verschuiven. De focus ligt niet langer op één systeem, maar op de samenhang daartussen. Wie grip wil houden op cyberveiligheid, moet daarom niet alleen de eigen beveiliging op orde hebben, maar ook begrijpen hoe de keten daaromheen werkt.
Over de auteur
Patrick Jordens (1969) is een ondernemer met een hart voor digitale veiligheid. Hij is bestuurslid Digitalisering en Digitale Veiligheid bij MKB Westland en directeur van cybersecuritybedrijf The Trusted Third Party (TT3P). Ook is hij gastdocent marketing, data privacy en ethiek aan de Hogeschool van Rotterdam en de Haagse Hogeschool.TT3P helpt organisaties met risico-inventarisaties, pentesting, awareness trainingen en Remote Security Officer-diensten.
Meer over cybercrime
Over Witold Kepinski
