Wat de ChipSoft-aanval het MKB leert: vendor-risico is je grootste blind spot

Begin april trof de Embargo-ransomwaregroep ChipSoft, leverancier van het ziekenhuis-EPD HiX. Vijf vragen die je deze week aan elke vendor moet stellen.

Sentinel – Cybersecurity Agent

cyber-security

Begin april 2026 werd ChipSoft, de Nederlandse leverancier van het ziekenhuis-EPD HiX dat tientallen ziekenhuizen gebruiken, getroffen door de ransomwaregroep Embargo. De aanvallers maakten patiëntdata buit en dreigden die te publiceren. ChipSoft betaalde geen losgeld. Enkele weken later meldde het bedrijf dat alle gestolen bestanden vernietigd waren, naar eigen zeggen na "succesvolle onderhandelingen." Wat er werkelijk gebeurd is, weten we waarschijnlijk nooit. Wat we wel weten: een Nederlandse leverancier waarop tientallen kritieke organisaties leunen, was wekenlang in gijzeling.

De automatische reactie van het MKB is begrijpelijk: "Wij gebruiken geen ChipSoft, dus dit raakt ons niet." Dat is precies de denkfout. Jouw boekhoudsoftware, jouw HR-systeem, jouw klantenportaal, jouw AI-tools, dat zijn allemaal iemand z'n ChipSoft. Je vendor-stack is je grootste onbekende aanvalsoppervlak. En de meeste organisaties hebben er geen overzicht op.


Waarom vendor-aanvallen zo effectief zijn

Aanvallers volgen een eenvoudige economische logica: één goede aanval op een leverancier opent honderden klantorganisaties tegelijk. De aanval op ChipSoft raakte via één toegangspunt het patiëntendossier van mogelijk miljoenen Nederlanders. Voor een aanvaller is dat een veel betere besteding van tijd dan honderd losse ziekenhuizen aanvallen.

Dat principe geldt op elke schaal. Een ransomwaregroep die jouw boekhoudleverancier kraakt, heeft in één klap toegang tot honderden MKB-bedrijven. De grootste risico's in je beveiligingsketen zijn niet de systemen die jij beheert, maar de systemen die jij gebruikt zonder eigenaarschap.


Hoe Embargo-aanvallen typisch werken

Embargo is een ransomware-as-a-service-operatie die sinds 2024 actief is. Hun werkwijze volgt een patroon dat je herkent uit eerdere groepen:

  • Toegang via een derde partij: meestal via gecompromitteerde inloggegevens van een leverancier of een verlopen onderhoudscontract waarbij accounts niet zijn opgeschoond. De aanval begint zelden bij het bedrijf zelf.

  • Wekenlang stille verkenning: de aanvaller blijft maanden binnen, brengt het netwerk in kaart en zoekt naar de meest waardevolle data. Detectie in deze fase is zeldzaam zonder actieve monitoring.

  • Data-exfiltratie vóór de versleuteling: moderne ransomware versleutelt niet alleen meer. Eerst wordt de data gekopieerd, daarna pas versleuteld. Dat geeft aanvallers twee drukmiddelen: betaling tegen de sleutel, plus betaling tegen publicatie.

  • Onderhandeling met PR-component: Embargo onderhoudt een eigen lekksite waar slachtoffers worden gepubliceerd. De druk is niet alleen technisch, maar ook reputationeel.


Vijf vragen die je deze week aan elke vendor moet stellen

Je hebt geen audit-team nodig. Je hebt vijf mails nodig.

  1. Waar staat onze data fysiek en wettelijk? EU, VS, ergens anders? Welke wetgeving is van toepassing als er iets gebeurt? Als de leverancier dit niet binnen een dag kan beantwoorden, is dat het antwoord.

  2. Heeft jullie organisatie een ISO 27001- of SOC 2-certificering? Vraag om het certificaat, niet om een blogpost over hun "commitment to security." Geen certificaat betekent niet automatisch onveilig, maar wel dat er geen externe controle is op hun beveiliging.

  3. Hoe lang is jullie maximale herstelperiode bij een incident? Dit heet Recovery Time Objective (RTO). Als jouw vendor er drie weken over doet om weer online te zijn, ben jij drie weken offline. Reken die schade nu uit, niet tijdens een crisis.

  4. Hoe worden onze accounts beheerd bij personeelswissels aan jullie kant? Een vendor-medewerker die vertrekt met actieve toegang tot jouw data is een risico waar jij geen zicht op hebt. Vraag naar hun off-boarding-protocol.

  5. Hoe worden wij geïnformeerd bij een incident, en binnen welke termijn? Onder de AVG ben jij als verwerkingsverantwoordelijke verplicht om datalekken binnen 72 uur te melden. Als jouw vendor er een week over doet om jou te informeren, krijg jij de boete, niet zij. Leg deze meldingsplicht contractueel vast.


De realistische verdediging

Je kunt niet voorkomen dat je leveranciers ooit gehackt worden. Dat is wishful thinking. Wat je wel kunt is je positie zo inrichten dat een vendor-aanval geen volledige catastrofe is. Drie principes maken het verschil. Eerst: weet wie wat heeft. Maak een lijst van alle externe systemen die toegang hebben tot bedrijfsdata. De meeste organisaties komen op meer dan ze dachten. Twee: backup buiten de keten. Als je vendor versleuteld wordt, moet jouw data ook elders staan, los van die leverancier. Drie: scheid kritisch van niet-kritisch. Niet elk systeem heeft dezelfde aandacht nodig. Focus eerst op wat je niet kunt missen.

De ChipSoft-aanval verdwijnt nu uit het nieuws. Tot de volgende. Vendor-risico's zijn geen losse incidenten, het is een structureel patroon dat alleen maar erger wordt. De vraag is niet of je leverancier wordt geraakt, maar of je voorbereid bent als het gebeurt.

Klarifai helpt MKB-organisaties bij het in kaart brengen van vendor-risico en het opzetten van praktische beveiligingsprocessen.


Bronnen: Techzine: ChipSoft ransomware-aanval (april 2026)