Qantas-databreuk: Waarom verskaffertoesig 'n voldoeningsprioriteit moet wees

Deur Nicholas Fearn • 4 September 2025

'n Onlangse Qantas-databreuk wat die persoonlike inligting van 5.7 miljoen kliënte in gevaar gestel het, het die voortdurende kuberveiligheidsrisiko wat derdeparty-diensverskaffers vir ondernemings inhou, uitgelig. Die voorval, wat in Junie plaasgevind het, het data soos name, geboortedatums, telefoonnommers, e-posse en inligting van kliënte se Qantas Frequent Flyer-lojaliteitskema-rekeninge blootgelê. Finansiële, paspoortinligting en wagwoorde is egter nie beïnvloed nie.

Maar eerder as om die Australiese lugredery se interne IT-stelsels te oortree, het die skuldiges agter die oortreding hierdie inligting gesteel deur 'n derdeparty-kontaksentrum van die buiteland te mislei om te dink dat hulle Qantas-werknemers was wat multifaktor-verifikasie-inligting moes herstel. Nadat hierdie belangrike sekuriteitsinligting verander is, het die hackers ongemagtigde toegang verkry tot 'n uitbestede wolkplatform wat Qantas-kliëntedatabasisse bevat.

Daar word geglo dat die kubermisdaadgroep Scattered Spider, wie se hackers versprei is oor die VSA en die VK, agter die kuberaanval was. Die FBI het sedertdien gewaarsku dat die groep toenemend sosiale manipulasie-aanvalle op globale lugdienste loods. Dit kom nadat navorsing van die kuberversekeraar Cowbell toon dat sagteware-voorsieningskettingaanvalle verhoog met 431% in die afgelope vier jaar. Met dit in gedagte, wat kan firmas doen om hul voorsieningskettings te beveilig en voorvalle soos die Qantas-oortreding te voorkom?

Belangrike lesse om te leer

Een van die grootste lesse uit die Qantas-kuberbreuk is dat alhoewel multifaktor-verifikasie ontwerp is om as 'n bykomende laag sekuriteit op te tree, wat dit moeiliker maak vir kubermisdadigers om rekeninge te hack, dit nie heeltemal ondeurdringbaar is nie. Dit is volgens Jake Moore, globale kuberveiligheidsadviseur by antivirusvervaardiger ESET, wat sê bose mense is in staat om "selfs die beste verdediging" te hack.

'n Tweede les van Moore is dat besighede moet besef dat hul voorsieningskettings "onvermydelike swakpunte" bevat wat maklik vir hackers is om te benut, soos om bloot egte werknemers na te boots, en wat "'n groot impak op hul werknemers kan hê".

Hierdie sentiment word beaam deur Vijay Dilwale, hoofkonsultant by die toepassingssekuriteitsagtewareverskaffer Black Duck. Hy voer aan dat selfs al het maatskappye robuuste kuberbeskerming in plek, is dit in wese nutteloos as die verskaffers waarop besighede staatmaak nie dieselfde vlak van aandag aan kuberveiligheid gee nie. Hy sê vir ISMS.online: “Qantas se kernstelsels is nie oortree nie, maar miljoene rekords het steeds in die verkeerde hande beland weens 'n gaping by 'n derde party.”

Wanneer persoonlike inligting op hierdie manier oortree word, sê Dilwale, kan dit "ernstige" gevolge vir besighede hê. Dit sluit in geërodeerde kliëntevertroue, regulatoriese boetes en nuusartikels wat die skuld op beide die maatskappy en die verskaffer plaas, selfs al is eersgenoemde nie skuldig nie. Hy voeg by: "In vandag se digitale wêreld bestaan die tradisionele omtrek nie regtig nie. Elke verskaffer, elke uitkontrakteerder, elke SaaS-platform is deel van jou aanvalsoppervlak."

Nakomingsimplikasies

Aangesien verbeterde kuberveiligheidsbeskermings, soos MFA, alleen nie genoeg is om organisasies teen verwoestende datalekkasies te beskerm terwyl voorsieningskettingaanvalle aanhou toeneem nie, moet organisasies duidelik meer doen.

Vir Dilwale van Black Duck beteken dit dat risikobepaling van verskaffers as 'n deurlopende oefening beskou moet word eerder as 'n enkele blokkie-aktiwiteit wanneer nuwe verskaffers aan boord geneem word. Saam met die noukeurige keuring van derdeparty-diensverskaffers, sê hy dat organisasies die kuberrisiko's wat verskaffers inhou, voortdurend moet monitor en in formele kontrakte moet stipuleer dat verskaffers kuberveiligheid ernstig opneem. In hierdie kontrakte moet organisasies verskaffers kry om in te stem tot kuberveiligheidoudits en voorvalkennisgewings.

Maar hierdie pogings gaan nie net oor die beskerming van jou gesig nie – dit is ook 'n regulatoriese verpligting. Dilwale verduidelik dat die Australiese Privaatheidsbeginsels in Australië maatskappye verplig om enige tipe kuberbreuk aan te meld. Intussen beklemtoon bedryfstandaarde soos ISO 27001 die belangrikheid van risikobestuur in die voorsieningsketting. Hy voeg by: “Die boodskap is duidelik: toesig oor jou verskaffers is nie meer opsioneel nie.”

Wat die bestuur van hierdie risiko's betref, beveel Dilwale aan dat organisasies 'n Inligtingsekuriteitsbestuurstelsel (ISMS) aanneem, aangesien dit hulle in staat sal stel om kwesbaarhede in die voorsieningsketting te monitor en te identifiseer dwarsdeur elke stadium van 'n verskaffersverhouding, van aanboord tot afboord.

“Jy kan seker maak dat oudits nie net geskeduleer word nie, maar eintlik opgevolg word met remediëring. Jy kan 'n volledige prentjie van jou uitgebreide voorsieningsketting opbou, sodat jy nie daardie vierdeparty-verbindings misloop nie,” sê hy. “En jy kan verskaffers insluit in jou voorvalreaksie-oefeninge sodat wanneer iets verkeerd loop, julle reeds weet hoe om saam te reageer.”

Benewens die gebruik van 'n ISMS, het Michael Tigges, senior sekuriteitsbedrywighede-ontleder by die ondernemingskubersekuriteitsplatform, Huntress, dring daarop aan dat organisasies toegewyde raamwerke ontwikkel met behulp van standaarde soos ISO 27001, hul verskaffers gereeld monitor en oudit as deel van "duidelike" diensvlakooreenkomste, deursigtig wees oor die beweging van data en in opsporings- en reaksiestelsels belê.

Ander Stappe

Verskaffers se gesondheidskontroles is nog 'n belangrike stap in die uitskakeling van sekuriteitsrisiko's in die voorsieningsketting, volgens Tigges van Huntress. Dit moet gebiede soos voldoende toegangsbeheer, multifaktor-verifikasie, voorvallogboeke en voorvalsimulasies dek.

As deel van hierdie pogings moedig hy maatskappye aan om kuberveiligheidsoefeninge op tafelblad uit te voer, waarin hulle 'n realistiese kuberaanval ondergaan en assesseer hoe hul span reageer, om sekuriteitsgapings te identifiseer en te sluit. Derdepartyverskaffers kan ook hierby ingesluit word.

Tigges beklemtoon ook die belangrikheid van effektiewe belanghebberbestuur. Hy sê vir ISMS.online: “Begin deur realistiese gesprekke te voer; wat hoop ons hier te bereik, watter risiko's kan ons duld, en waar kan ons ons verdediging op ander maniere versterk om daardie risiko te verminder?”

Ross Brewer, visepresident van EMEA by die logbestuur- en sekuriteitsanalisefirma Graylog, stem saam dat organisasies voorsieningskettingrisiko's in hul kuberveiligheidsoefeninge moet in ag neem. Deur dit te doen, sal hulle in staat wees om "opsporings-, eskalasie- en reaksieprosedures" binne hul organisasie te toets.

Vooruitskouend

Met kuber-aanvalle in die voorsieningsketting wat geen tekens van verlangsaming toon nie, glo Moore van ESET dat organisasies geen ander keuse sal hê as om verskaffersekuriteitsassesserings 'n noodsaaklike deel van hul bestuurshouding te maak nie. Dit beteken om derdeparty-verskaffers "as 'n verlengstuk van die organisasie" te behandel met "dieselfde aanspreeklikheid" om oorlewing in 'n vinnig ontwikkelende regulatoriese landskap te verseker.

Omdat soveel besighede nou verskillende dele van hul organisasies aan derdeparty-verskaffers uitkontrakteer, sê Dilwale van Black Duck dat hulle die sekuriteitsposisie van verskaffers met dieselfde vlak van belangrikheid as hul eie moet beskou. Hy gaan voort: “Voorsieningskettingsekuriteit kan nie as 'n nagedagte bygevoeg word nie; dit moet in bestuur ingebed word, aangesien aanspreeklikheid en nakoming kernvereistes van sake doen is.”

Op die lang termyn, sê Tigges van Hunttress, sal besighede en hul verskaffers “deursigtig en samehangend” moet wees in hul kuberveiligheids- en databestuurspraktyke as gevolg van die sensitiwiteit van die inligting wat gedeel word. Hy sluit af: “Organisatoriese reputasie en individuele data is op die spel, en alle individue wat daardie data hanteer, is belanghebbendes in hierdie proses.”

Alhoewel die Qantas-kuberbreuk nie te wyte was aan kuberveiligheidsnalatigheid aan die kant van die Australiese lugredery nie, kon die voorval voorkom gewees het as die lugredery sterker voorsieningsketting-sekuriteitspraktyke in plek gehad het. Vir ander organisasies bied dit 'n waardevolle les: dat die sekuriteit van jou verskaffers net so belangrik is soos jou eie. Dit moet versterk word in omvattende verskafferskontrakte, gereelde voorsieningsketting-gesondheidskontroles en kuberveiligheidsoefeninge wat voorsieningsketting-sekuriteitsrisiko's in ag neem.

Nicholas Fearn

Nicholas Fearn is 'n vryskutjoernalis van die Walliese Vallei. Hy is geskryf vir groot media-afsetpunte soos die Financial Times, The Independent, The Telegraph, Evening Standard, iNews, HuffPost en Insider, sowel as B2B-publikasies soos Computer Weekly, Computing en IT Pro. Wanneer Nic nie oor die nuutste gadgets en tegnologieneigings skryf nie, luister hy waarskynlik na Mariah Carey se hele diskografie.

Lees meer van Nicholas Fearn

cyber Security 8 Januarie 2026

die nakomingsera hoe regulering, tegnologie en risiko sakenorme herskryf blog

Die Nakomingsera: Hoe Regulasie, Tegnologie en Risiko Besigheidsnorme Herskryf

Nakoming is nie die glansrykste ding in die oë van die meeste sakeleiers nie. Hulle mag dit as 'n noodsaaklikheid beskou om regulatoriese druk te vermy, maar tog...

Nicholas Fearn

cyber Security 27 November 2025

Hoe hoëprofiel-kubervoorvalle die werklike besigheidsimpak van kwesbaarhede in die voorsieningsketting demonstreer

Kuberbreuke saai verwoesting in besighede. Dit kan maatskappye se bedrywighede tot stilstand bring, hul koffers dreineer en kliëntevertroue ondermyn. Dikwels...

Nicholas Fearn

cyber Security 16 Julie 2025

Wat verhoogde verdedigingsbesteding vir die kuberveiligheidssektor beteken

Terwyl geopolitieke spanning wêreldwyd steeds styg, het 2025 'n dramatiese toename in verdedigingsbesteding gesien wat nie sedert die Koue Oorlog gesien is nie. In onlangse...

Nicholas Fearn