Het is vrijdagavond rond 22.00 uur als directeur Henny de Haas een verontrustend telefoontje krijgt van Marcel, destijds de CFO en verantwoordelijk voor ICT bij Hoppenbrouwers Techniek. "We zijn gehackt."
Technisch dienstverlener Hoppenbrouwers kreeg in de zomer van 2021 te maken met een ransomware-aanval. Ze waren slachtoffer van de wereldwijde Kaseya-hack. Een softwareprogramma dat zij gebruikten om hun computers te beheren en te beveiligen, bleek geïnfecteerd met gijzelsoftware (ransomware).
“Omdat Marcel normaal gesproken alles voor ons oplost, realiseerde ik me gelijk dat het goed mis was. Diezelfde avond heb ik contact opgenomen met collega’s en hebben we cybersecuritybedrijf Northwave ingeschakeld. Vanaf de volgende ochtend stonden zij paraat”, vertelt Henny. Gelukkig had Hoppenbrouwers in 2017 een cyberverzekering afgesloten, wat nu van onschatbare waarde bleek.
Supply-chain aanval
Hoppenbrouwers was, net als veel andere bedrijven in Nederland en in de wereld, getroffen door een ‘supply-chain’-aanval. De Russische hackersgroep REvil misbruikte een beveiligingslek in software van Kaseya, een zogenoemde VSA-agent, die veel IT-dienstverleners gebruiken. Ook bij Hoppenbrouwers was deze software geïnstalleerd, waardoor hun apparaten na een software-update geïnfecteerd en versleuteld raakten. De gijzelsoftware had zich in de loop van de middag al verspreid over alle opgestarte computers.
De hal stroomde vol met collega's
Een crisisteam werd samengesteld en de hal van het kantoor stroomde op zaterdagochtend vol met collega's. Iedereen wilde íets doen. Ze zorgden dat alle 2.000 laptops naar het hoofdkantoor gebracht werden, werkten aan scripts en er werd voor eten en drinken gezorgd voor alle medewerkers die het weekend teruggekomen waren om deze aanval te helpen afwenden.
“Samen hebben we een verborgen website gebouwd voor zowel medewerkers als klanten, omdat transparante communicatie voor ons van groot belang is. Ieder uur verspreidden we updates, via sms en de website. Dat werd als prettig ervaren. De klanten namen het ons niet kwalijk, maar als er op dat moment ergens werk opgeleverd had moeten worden of als de tekeningen of software niet op tijd af waren geweest, dan was het waarschijnlijk een ander verhaal geweest”, aldus Henny.
“Het grootste gedeelte van het werk was gewoon monnikenwerk om al die computers terug te halen en op te schonen. We zijn met veel mensen tegelijkertijd in actie gekomen. We hebben ervoor gekozen om tegelijkertijd aan de streep te komen en dat is ons toevallig gelukt”, vertelt Henny.
Dankzij de goede informatiebeveiliging, snel en doeltreffend handelen en de onvermoeibare inzet van honderden medewerkers slaagde Hoppenbrouwers erin om binnen één weekend de gevolgen van een hack onder controle te krijgen. Hierdoor waren ze op maandagochtend weer veilig online. Een prestatie die doorgaans twee tot drie weken in beslag neemt bij bedrijven van vergelijkbare omvang, met mogelijk aanzienlijke gevolgschade zoals financiële verliezen, imagoschade en een datalek van vertrouwelijke gegevens.
Nasleep
“Het grijpt me nog steeds aan. Dat klinkt misschien heel gek twee jaar later, maar daar blijf ik gewoon last van houden. Het blijft me raken.”, aldus Henny.
Henny vindt het belangrijk om er open over te communiceren, tijdens het incident maar óók naderhand. Inmiddels is er een boek uitgebracht en een podcastserie gemaakt over de hack en de ervaring van Henny en zijn collega’s, om andere ondernemers een kijkje achter de schermen te geven van dit crisisweekend.
Inmiddels heeft Hoppenbrouwers de procedures aangepast. Waar de ICT'ers voorheen toegang hadden tot het hoofdwachtwoord - wat eigenlijk betekende dat er veel mensen met een universele sleutel rondliepen - wordt nu een strikter beleid gehanteerd. Het hoofdwachtwoord wordt alleen nog verstrekt wanneer het strikt noodzakelijk is of voor specifieke taken. Daarnaast wordt nu de gehele schijf gemonitord. Er wordt een uitgebreidere beveiligingsaanpak toegepast in vergelijking met het eerder gebruikte schildbeveiligingssysteem.
Het grijpt me nog steeds aan. Dat klinkt misschien gek twee jaar later... het blijft me raken.
Tips van Henny de Haas:
- Zorg ervoor dat je voldoende kennis hebt. Ik denk dat je op bestuursniveau niet meer zonder ICT- en cybersecuritykennis kunt.
- Het is belangrijk ommultifactorauthenticatiete gebruiken.
- Discipline en uniformiteit in je systemen en in je processen. Dat voorkomt dat je iets binnenhaalt waar een virus in zit.
- Onderschat het niet! Ga er gewoon vanuit dat het jou ook gaat overkomen.
- Sluit een cyberverzekering af, dat kan in ieder geval helpen om specialistische hulp te krijgen en de grootste schade af te dekken.
Hoppenbrouwers Techniek
Als technisch dienstverlener installeert en onderhoudt Hoppenbrouwers installaties voor zowel zakelijke als particuliere klanten. Ze zijn actief op het gebied van elektrotechnische en werktuigbouwkundige installaties voor bedrijfsleven, industrie, zorginstellingen, scholen en particulieren. Met een cruciale rol in de energietransitie en de wereld van digitalisering realiseert het bedrijf projecten gericht op duurzame energieopwekking, energiemanagement en optimalisatie van het energieverbruik.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Gevaar op zee na hack bij maritieme dienstverlener
Ongeveer een kwart van de olieplatforms in het Nederlandse deel van de Noordzee wordt op afstand bewaakt door Royal Dirkzwager. Maar stel je voor dat de systemen uitvallen en er geen enkel signaal meer binnenkomt op de controlekamer. Dan liggen er mogelijk catastrofale gevolgen ligt op de loer.
Volvo-dealer uit Noord-Holland wordt slachtoffer van ransomware-aanval
Volvo-dealer Ton van Kuyk uit Alkmaar werd begin 2023 slachtoffer van een ransomware-aanval. Financieel directeur Jack Ros legt uit waarom het bedrijf niet is ingegaan op de eis van de hackers, zo'n 300.000 dollars in Bitcoins. Gelukkig waren er back-ups om de bedrijfsprocessen weer snel op gang te krijgen.
Adviesbureau slachtoffer van zakelijke identiteitsfraude
Eigenaar Edwin de Ruijter van adviesbureau De Ruijter ontdekte dat de goede naam van zijn bedrijf wordt misbruikt om mensen op te lichten. Oplichters gebruiken een bijna zelfde bedrijfsnaam om geld bij slachtoffers af te troggelen. Met een advertentie lokken ze mensen naar een nepwebsite voor een neplening.