De onvoorstelbare impact van een cyberaanval

"Cybercriminaliteit is iets waarvan elk bedrijf denkt ‘als het mij maar niet overkomt’, maar het is niet de vraag óf, maar wannéér het je overkomt." Dit is de conclusie van Niels Golsteijn, Manager IT bij Hertek B.V., nadat zij helaas slachtoffer zijn geworden van een ransomware aanval. In deze blog lees je over de ervaring van Hertek en de lessen die zij hiervan geleerd hebben.

Technologie is vandaag de dag overal. We gebruiken het om te communiceren, optimaliseren er processen mee en dankzij kunstmatige intelligentie en machine learning lijken de mogelijkheden eindeloos. Maar achter deze ongekende mogelijkheden schuilt ook een gevaar: cybercriminaliteit. In deze blogpost laten we Niels Golsteijn, Manager IT bij Hertek, aan het woord die slachtoffer werd van een ransomware-aanval.

Hertek is een familiebedrijf dat sinds 1993 zorgt voor een veilige omgeving. Hertek levert slimme totaaloplossingen op het gebied van brandveiligheid en zorgtechnologie. Bij het inmiddels dertig jaar oude bedrijf zit veiligheid dus in het DNA. Maar wat als die veilige omgeving plotseling wordt getroffen door een ransomware-aanval?

Cybercriminaliteit is iets waarvan elk bedrijf denkt ‘als het mij maar niet overkomt’, maar het is niet de vraag óf, maar wannéér het je overkomt. Digitale criminaliteit is de criminaliteit van vandaag en morgen. Ga er dus bewust mee aan de slag.

Niels Golsteijn Manager IT bij Hertek

De Dag

Laten we teruggaan naar zondag 11 oktober 2020. De dag waarop Rafael Nadal een uitgesteld Roland Garros won en het Nederlands elftal gelijkspeelde tegen Bosnië en Herzegovina. Een dag die begon als alle andere dagen, maar al snel veranderde in een nachtmerrie. Toen Niels binnen 5 minuten ineens 25 gemiste oproepen had van zijn systeembeheerder, was duidelijk dat er iets goed mis was. Desondanks komt de boodschap ‘we zijn gehackt’ binnen als een mokerslag. Niels haastte zich naar kantoor om de schade ter plekke te bekijken. 

9 oktober 2020; 10.02 uur

De hack begon met een ogenschijnlijk onschuldige e-mail naar een Hertek-collega met het verzoek om een document te bekijken. Een Engelstalige mail dat wel, maar dat is geen reden tot argwaan bij Hertek, die veel met internationale partijen samenwerkt. De collega negeert een aantal veiligheidswaarschuwingen en opent het document met daarin de schadelijke macro’s. Ongeveer een uur later begint de collega te twijfelen en meldt het incident bij IT. Ondertussen zijn de hackers al binnen. Om 12 uur ‘s middags hebben de aanvallers volledige toegang tot de servers van Hertek. Op 11 oktober tegen middernacht is het ze gelukt om het hele systeem over te nemen en een uur later hebben ze gevoelige data in handen.

De eisen

Om 11 uur ‘s ochtends wordt duidelijk dat Hertek gehackt is. Niemand kan meer inloggen en de hackers maken hun eisen duidelijk op A4-tjes die ze uit de printers laten rollen. Als Hertek de data terug wil en een openbaar lek wil voorkomen, kunnen ze maar beter losgeld betalen, zo luidt de boodschap.

Plan van aanpak

Niels probeert met een aantal collega’s eerst te achterhalen wat er aan de hand is en waar ze moeten beginnen. Ze tuigen een crisisteam op en maken een plan van aanpak. Ze koppelen alle werkplekken los van het systeem. Al snel doen ze aangifte en krijgen ze hulp van forensisch onderzoekers. Uiteindelijk helpt forensisch onderzoeker Northwave Hertek in de onderhandeling met de hackers.

Onderhandelen

Eerst vragen ze de hackers om bewijs van de data die ze claimen in handen hebben. Die laten al snel snapshots zien. Niels en zijn collega’s schatten in dat ze 117 GB hebben kunnen uploaden. De hackers eisen een flink bedrag aan losgeld. Een bedrag dat Hertek niet bereid is om te betalen. Een groot geluk is dat Hertek back-ups gescheiden van het domein opslaat. Hierdoor kunnen ze, terwijl ze onderhandelen achter de schermen, al back-ups terugzetten.

De nasleep

De impact van de aanval is groot. Uiteindelijk heeft Hertek er 2,5 dag compleet uitgelegen. Ze maken een melding van het datalek bij de Autoriteit Persoonsgegevens en informeren klanten over de ransomware-aanval. Interne communicatie blijkt ook belangrijk. Waar sommige medewerkers de 2,5 dag dat Hertek eruit ligt zien als extra vakantie, zijn andere medewerkers bang voor de toekomst van Hertek. Uiteindelijk resulteerde de ransomware-aanval in aanzienlijke kosten voor Hertek en resulteerde in de inactiviteit van bepaalde systemen als gevolg van schade aan het netwerk, zoals het DMS, het e-mailarchief en enkele services die niet konden worden hersteld vanuit de back-up.

Wat doet Hertek nu anders?

Voor de aanval was de situatie bij Hertek een typische MKB-omgeving. Er was een verouderde IT structuur, weinig IT-kennis in de organisatie en mensen waren niet echt met cybercriminaliteit bezig. Bovendien was de IT-afdeling in transitie. Inmiddels is de situatie natuurlijk heel anders. Hertek werkt continu aan de campagne ‘Waakzaam werken’ waarvoor ze specifieke gedragsregels opstellen. Hertek werkt bewust met een informatieveiligheidsbeleid en aan de inrichting van een Information Security Management Systeem (PDCA cyclus). Ze beperken communicatie over specifieke opdrachten tot een minimum. Met behulp van Fellowmind werken ze daarnaast aan vernieuwing van de IT architectuur, het elimineren of vernieuwen van oude software systemen en data classificatie. Daarnaast nemen ze security operations diensten af.

Geleerde lessen

Niels: “Cybercriminaliteit is iets waarvan elk bedrijf denkt ‘als het mij maar niet overkomt’, maar het is niet de vraag óf, maar wannéér het je overkomt. Digitale criminaliteit is de criminaliteit van vandaag en morgen. Ga er dus bewust mee aan de slag.” Bij Hertek hebben ze nu een 48-uurs plan waarin staat wat ze de eerste 48 uur na een hack doen. “Als je gehackt bent, is er in eerste instantie paniek. Met zo’n plan weet je zeker dat je cruciale zaken niet vergeet.” Daarnaast is het belangrijk om voldoende IT maatregelen te nemen en na te denken over wat je doet om gevoelige data te beschermen. Bij Hertek slaan ze bijvoorbeeld geen plattegronden van gebouwen meer op waarvoor ze de brandbeveiliging verzorgen. Daarnaast is het belangrijk om voldoende awareness binnen de organisatie te creëren. “Sommige mensen worden er weleens een beetje moe van, maar als we dan een phishing mail uitsturen, vallen ze toch weer in de prijzen. Het blijft belangrijk om medewerkers hier alert op te maken.”

Bescherm je bedrijf tegen cybercriminaliteit

Wij hebben een security framework ontwikkeld om bedrijven effectief te beschermen tegen de voortdurend evoluerende dreiging van cyberaanvallen. De eerste stap is het identificeren van de risico's en kwetsbaarheden binnen je organisatie. Dit omvat het identificeren van waardevolle assets, potentiële bedreigingen en het inschatten van de impact van een mogelijke aanval. Een hulpmiddel daar voor is de cybersecurity assessment tool.