Marcel de Boer, financieel directeur van Hoppenbrouwers Techniek, wil cyberschaamte de wereld uit helpen. Daarom doet hij zijn verhaal over de gebeurtenissen die hij vanaf 2 juli 2021 meemaakte en er werd zelfs een boek over geschreven. “Het taboe moet eraf. We moeten op dit vlak veel meer leren van elkaar.”
“Shit. Dit is niet goed. Dit is helemaal niet goed...” Dat is het eerste wat door het hoofd schiet van Henny de Haas, algemeen directeur van Hoppenbrouwers, als hij vrijdagavond 2 juli om 21.30 uur een telefoontje krijgt van financieel directeur en ICT-verantwoordelijke Marcel de Boer. Die heeft maar weinig woorden nodig. “We zijn gehackt.” Zo begint het spannende boek dat leest als een thriller. De kans dat bedrijven te maken krijgen met een brand is 1 op de 8.000, de kans op een inbraak is 1 op de 250 en de kans op een cyberaanval is 1 op de 5. De Boer: “Als die kans zo groot is, moeten we daar wat tegenoverstellen. Die tegenkracht gaat over samenwerken waar dat kan en lessen delen waar dat mogelijk is.”
Niemand kan inloggen. Daar komt het op neer. De ICT’ers van het 1.500 medewerkers tellende bedrijf werken met man en macht om te kijken wat er aan de hand is. Met kunst en vliegwerk lukt het een deel van het systeem aan de praat te krijgen. Eén van de ICT’ers klikt verder rond om te zoeken waar het probleem zit. Ineens ziet hij op de server een aantal bestandjes met eigenaardige extensies. Het hele systeem blijkt muurvast te zitten. De ICT’ers realiseren zich al snel dat ze dit niet alleen op kunnen lossen. De hack waar Hoppenbrouwers mee te maken kreeg, was onderdeel van een wereldwijde aanval via een lek in het Amerikaanse softwareprogramma Kaseya. Die aanval wordt gedaan door Russische organisatie REvil.
Een geluk bij een ongeluk is dat Hoppenbrouwers sinds 2017 een cyberverzekering heeft afgesloten. De Boer scrolt door zijn telefoon. Van schrik kan hij niet meteen op de naam komen van de verzekeraar. “Hoe heet die club ook alweer?” Het blijkt de Chubb European Group te zijn. Die schakelt het gespecialiseerde IT-bedrijf Northwave in die samen gaan werken met de ICT’ers van Hoppenbrouwers. Op Twitter en op de website van het Amerikaanse bedrijf Kaseya verschijnen alarmerende berichten over een grootscheepse cyberaanval via hun software. De Boer: “Een hack via een achterdeur bij een softwareleverancier… Daar kun je je bijna niet tegen wapenen.”
Hoppenbrouwers Techniek maakte een hack mee en besloot daar een boek over te schrijven. Deze is gratis te downloaden via www.hoppenbrouwerstechniek.nl/boek-hack .
Om inzicht te krijgen in de aard van de hack, wordt eerst een primaire triage gedaan. Northwave kijkt met behulp van TeamViewer mee in het hart van de systemen van Hoppenbrouwers. Als de ICT’ers uitleggen welke acties ze zelf inmiddels hebben ondernomen, krijgen ze de complimenten van Northwave. “Hoelang duurt het voordat de zaak hersteld kan zijn,” vraagt De Haas. Northwave geeft voorzichtig aan dat een bedrijf dat is gehackt er doorgaans gemiddeld 23 dagen uitligt. Daar schrikt ook De Boer van. Een simpele som leert dat iedere dag dat Hoppenbrouwers niet kan werken, vijfhonderdduizend euro kost. Drie weken dicht betekent dus een schade van 7,5 miljoen euro. De Boer: “Wat perspectief bood is dat de ICT’ers op tijd de juiste acties hebben ondernomen. Daardoor is de verspreiding van het virus beperkt gebleven. We hadden een nieuw storage systeem in gebruik genomen, we hadden multifactor authenticatie ingeschakeld en we hadden de maatregelen genomen horende bij een ISO 27000-certificatie. Dat certificaat gaat over informatiebeveiliging. Daarnaast hebben we de back up-strategie, de netwerksegmentatie en het patchmanagement op orde.”
Alle medewerkers worden gewaarschuwd. Niemand mag zijn of haar laptop gebruiken. Van daaruit zou het virus zich verder kunnen verspreiden. Om te zorgen dat de aanvallers helemaal geen toegang meer hebben tot het netwerk van Hoppenbrouwers wordt besloten álle systemen los te koppelen. Ook internetverbindingen, de telefooncentrale en servers. “Daarna begint een enorme logistieke operatie”, constateert De Boer. “Het opschonen van de besmette servers en het weer in werking stellen van alle systemen kan alleen door de specialisten van de ICT-afdeling en Northwave worden uitgevoerd. De Boer: “We hebben het werk verdeeld tussen de ICT’ers en Northwave die met de servers aan de slag gingen en de medewerkers die de 2.000 laptops en andere systemen verzamelden en schoonden. Voor het ophalen, inleveren, schoonmaken en weer distribueren waren heel veel mensen nodig.” Die hulp komt op gang. “Ik heb nog nooit zo’n hoge mate van betrokkenheid van onze medewerkers gezien.” ICT’ers schrijven protocollen om de laptops te schonen. Communicatie denkt na over hoe ze medewerkers kunnen waarschuwen en up-to-date houden. HR bedenkt scenario’s voor hoe de salarissen toch uitbetaald worden mochten de werkzaamheden toch langer duren.
Ook wordt een verborgen webpagina opgericht waarvan alleen de medewerkers de URL van hebben. Northwave is daar heel positief over. “Je hebt in dit soort situaties een groot communicatieprobleem, doordat je belangrijkste kanalen, telefoon, e-mail, intranet en teams, stilliggen. Het is essentieel daar een oplossing voor te vinden, want als je in dit soort situaties niet open bent, is er onduidelijkheid over wat er aan de hand is. En onwetendheid leidt tot speculaties en dat leidt per definitie tot hele slechte acties en resultaten.” De Boer vindt dat dan ook één van de grote lessen. “Vind manieren om toch te kunnen communiceren. Openheid maakt een kracht los binnen het bedrijf omdat medewerkers helpen het probleem op te lossen. Die kracht moet je vervolgens vanuit het managementteam wel in goede banen leiden. Maar dat is altijd nog beter dat de antwoorden alleen met ICT en het managementteam verzinnen.”
Het peperdure back-upsysteem dat Hoppenbrouwers een half jaar geleden voor de hack heeft aangeschaft, blijkt een reddingsboei. Een andere meevaller is dat het de aanvallers niet gelukt is in de omgeving te komen waar de back-up gewist kan worden. Hoppenbrouwers is met ‘slechts’ vier uur aan data, relatief weinig kwijt. Na het inleveren van hun laptops bieden veel medewerkers aan te helpen met de schoonmaakoperatie. Voor de kinderen wordt ad hoc een soort crèche ingericht. “Die energie en betrokkenheid maakt me enorm trots”, zegt De Boer. “Hoe langer een hack duurt, hoe meer frustratie en moedeloosheid op je pad komt.” Het is dan ook zaak de situatie niet te lang te laten duren. Daarbij helpt een crisisteam dat de boel aanstuurt. “De meetings van het crisisteam, dat op bepaalde momenten wel vijfentwintig mensen telt, zorgen voor een soort rust. Ieder uur even updaten. Wat is de stand van zaken? Wat is er gebeurd, wat moet er nog, wie pakt wat op?”
Nadat de opslag van de back-ups is geregeld, werken de ICT-afdeling en Northwave een prioriteitenlijst af. Alle servers worden één voor één in de wasstraat gecheckt. Vijf specialisten van Northwave zijn ononderbroken met de operatie bezig. De ICT’ers van Hoppenbrouwers worden zoveel mogelijk met rust gelaten door de rest van het bedrijf om zich te kunnen concentreren. Achter de schermen hebben zij zelf iedere drie uur een intern overleg om de status van de acties te bespreken. Om 23.30 uur op zaterdag 3 juli gaat een zucht van verlichting door het ICT-team. Het is gelukt het virus te verwijderen van de server. Ook het in de lucht krijgen van de back-up lukt. In het boek staat ook dat Northwave met de aanvallers in gesprek gaat. Het gaat om georganiseerde criminele structuren die nauw samenwerken. Ze hebben ieder hun eigen specialisme en het systeem werkt bij de gratie van een goede samenwerking.
Northwave vraagt aan de hackers of er data zijn gestolen. De hacker antwoordt dat hij een maand tijd nodig heeft om dat te analyseren. Dit is ongebruikelijk en Northwave laat weten aan Hoppenbrouwers dat ze niet geloven dat ze echt data te pakken hebben. Ze zitten gewoon te bluffen. Ze weten dus niet eens dat ze Hoppenbrouwers hebben gehackt. Het was overduidelijk geen gerichte aanval, maar een wereldwijde aanval op duizenden bedrijven tegelijk. De Boer: “Een les voor bestuurders is dan ook dat je niet met je normale ICT-partner dit moet proberen op te lossen. Je hebt hier echt een gespecialiseerd cyber security-partij voor nodig dat meerdere bedrijven per week helpt met crises. Zij kennen het klappen van de zweep en kunnen ook contact opnemen met de aanvallers.”
ICT krijgt het voor elkaar om het hele bedrijf terug te zetten naar de status van vrijdagmiddag 12 uur. De vier uur aan kwijtgeraakte data betreft facturen aan klanten, bestellingen bij leveranciers en vrijdagmiddag gemaakte contracten met onderaannemers. Hoppenbrouwers komt met een plan om die gegevens weer terug te krijgen. Aan het eind van de zondag 4 juli zijn vrijwel alle laptops en computers van Hoppenbrouwers virusvrij. Het bedrijf houdt een online webinar om medewerkers te vertellen wat de status is. Groot obstakel is nog wel dat alle wachtwoorden moeten worden veranderd. “We gingen langs de rand van de afgrond, zoals Northwave het zei”, constateert De Boer. “Over het algemeen zijn bedrijven die getroffen zijn door een cyberaanval drie weken offline. Dat de technische impact bij Hoppenbrouwers vrij beperkt is gebleven en het gelukt is in twee dagen weer up en running te zijn, is een unicum.”
Tot slot geeft De Boer advies aan andere bestuurders. “Je moet een crisisplan hebben, maar dus niet alleen op de computer want daar kun je vaak niet bij. Maak het ook niet te gedetailleerd. Elke crisis is namelijk weer anders. Het is belangrijker dat je goed de krachten kunt bundelen, de organisatie kunt stroomlijnen en kunt improviseren.”
Foto's: Bert Jansen