Technisch dienstverlener wist geraffineerde ransomware snel te pareren maar leerde wijze lessen
In juli 2021 werd technisch dienstverlener Hoppenbrouwers Techniek getroffen door ransomware. Toch wist het bedrijf de aanval snel te pareren. Hoe heeft de technisch dienstverlener dat geflikt? En welke lessen hebben zij uit deze episode geleerd? Tijdens WoTS geeft Dick Klaassen, projectleider Industrial MSI bij Hoppenbrouwers, een lezing over dit zeer actuele onderwerp.
Door: Dimitri Reijerman
“De malware sloeg vlak voor het weekend toe”, vertelt Klaassen aan FHI: “het ging om een wereldwijde hackaanval. Softwareleverancier Kaseya, dat een updateprogramma verzorgt voor andere softwarepakketten, was het slachtoffer. De Russische hackgroep, REvil, wist via dit pakket een stukje eigen malware mee te versturen. Deze ‘update’ is wereldwijd verstuurd naar allerlei partijen die Kaseya-software gebruikten. Zo is deze ransomware ook bij ons binnengekomen.”
Direct na constatering hebben wij alle systemen uitgeschakeld en hebben we onze cyberverzekering ingeschakeld. Deze heeft ons gekoppeld aan een cybersecurityteam van Northwave. We hebben met het crisisteam meteen een plan van aanpak gemaakt. Northwave gaf aan: hou rekening met een week of twee voordat je weer up & running bent. Maar onze directeur wilde het in twee dagen doen. Daarop hebben we een ‘wasstraat’ voor de laptops gemaakt en bij al onze vestigingen de systemen schoongemaakt. Ook zijn de back-ups teruggezet. We waren maandag voor 80 tot 90 procent weer operationeel.
Onze medewerkers zijn continu op de hoogte gehouden. Zo hebben we snel kunnen schakelen en anticiperen op de situatie. Zondagavond hebben we via een webinar al onze 1.500 medewerkers extra geïnformeerd en geactiveerd.
De aanvallen van REvil versleutelde wereldwijd bij honderden bedrijven de data. Om die weer terug te krijgen, moesten veel bedrijven de portemonnee trekken. “Hoewel het doel van een cyberaanval doorgaans is dat er om losgeld wordt gevraagd, is het zover niet gekomen bij Hoppenbrouwers, dankzij het snelle handelen. Ook hebben de aanvallers geen kans gezien gegevens van de servers, zoals bestanden en/of contactgegevens van contactpersonen, te kopiëren of in te zien”, vertelt Klaassen.
Wijze lessen
In de nasleep van de REvil-aanvallen heeft Hoppenbrouwers veel wijze lessen geleerd. “We hebben in de toeleverketen van softwarebedrijven andere keuzes gemaakt na de evaluaties”, zegt Klaassen. “Ook maken we vaker back-ups en hebben we ervoor gekozen om bepaalde software uit te faseren.”
Die laatste keuze licht hij nader toe: “Een aanval die wij over ons heen kregen noem je een supply chain attack. Het komt vanuit leveranciers jouw bedrijf binnen. Dat deel heb je niet zelf onder controle. Omdat we inmiddels zo’n digitale samenleving hebben, ben je wel genoodzaakt om updates te verwerken van allerhande softwarebedrijven. In de OT-wereld is dat net zo waar. Je bent dus sterk afhankelijk van je leveranciers qua cyberveiligheid. Je kunt zelf alles wel op orde hebben, maar je zet soms letterlijk voor andere partijen de deur open. Dat is voor ons een grote les geweest. Denk dus goed na of het cyberveiligheidsbeleid van leveranciers goed past bij jouw veiligheidsbeleid.”
“Wat je ook wil is de goede contacten hebben met de juiste partners op het vlak van cyber security. Zij weten wat de laatste ontwikkelingen zijn. Ook een cyber security-verzekering kan bedrijven goed helpen.”
Verder wil Klaassen tijdens zijn WoTS-lezing er op wijzen dat ransomware één probleem is, maar het verstoren van de samenleving wordt ook steeds meer een middel dat door kwaadwillen wordt ingezet. “Denk aan aanvallen op de voedsel- of waterketen. De kans daarop wordt steeds reëler. Ook wil ik in mijn lezing duidelijk maken dat OT- en IT-systemen bijna niet meer te onderscheiden zijn op het gebied van cyberveiligheid. Je hebt verbindingen tussen de twee nodig om bijvoorbeeld de efficiency van de productiviteit te verbeteren. Bovendien heeft corona laten zien dat supply chains veel te lang worden, dus we moeten meer in de eigen omgeving maken. Oekraïne laat weer zien dat de economie geraakt kan worden. Dit alles zorgt voor nog veel meer connecties tussen IT en OT.”
Wilt u deze lezing of andere lezingen op het vlak van Industrial Cyber Security bijwonen? Registreer u kosteloos voor een bezoek aan de World of Technology & Science 2022.