Ethisch hacker Alex Verbiest ontdekte dat klimaatinstallaties in gebouwen, zoals HVAC-systemen, een kwetsbare toegangspoort kunnen vormen voor cybercriminelen. Tijdens een penetratietest bij een onderwijsinstelling wist hij via het gebouwbeheersysteem zonder inloggen gevoelige functionaliteiten te benutten en uiteindelijk volledige controle over het systeem te verkrijgen.

Het gebouwbeheersysteem, een Metasys-installatie van Johnson Controls, werd beheerd door een externe leverancier en was niet up-to-date gehouden. Hierdoor kon Verbiest een kwaadaardig bestand uploaden en uitpakken, waarmee hij toegang kreeg tot de infrastructuur van de it-beheerder. Via deze keten kon hij uiteindelijk de onderwijsinstelling volledig compromitteren, met inzage in onder meer financiële administratie, wachtwoorden, e-mail en personeelsgegevens. De gehele interventie duurde enkele uren.

Deze casus illustreert de risico’s van afhankelijkheden in de supply chain, waarbij systemen buiten directe controle van de it-afdeling een blinde vlek kunnen vormen. Onderwijsinstellingen blijken regelmatig doelwit van cyberaanvallen, zoals recent bleek uit incidenten bij onder andere Hogeschool Rotterdam en Universiteit Leiden. Ondanks de opkomst van nieuwe dreigingen, zoals door AI aangedreven aanvallen, ontbreekt het bij veel organisaties nog aan basismaatregelen zoals multifactor-authenticatie, tijdige updates en phishingherkenning.