Tal van servers, allemaal up-to-date. Behalve die ene, die onverhoopt over het hoofd is gezien. Hoe goed de boel aan de voorkant ook is dichtgetimmerd, binnen komt een cybercrimineel altijd. Weet iedereen in het bedrijf dan wat er moet gebeuren? Erno Doorenspleet, cto bij KPN Security, pleit voor een op papier helder plan, dat vooral uitvoerbaar moet zijn. Zie het als een brandoefening: ga ermee aan de slag, ondervind wat werkt en wat beter moet. En neem een voorbeeld aan VDL. ‘Het bedrijf heeft meteen gecommuniceerd wat er aan de hand was. Die transparantie is krachtig.’
– ‘Met paniek zaaien komt niemand verder.’
– ‘De tijd dat cybercriminelen met hagel schieten is voorbij.’
– ‘Iedereen moet weten wat te doen om een hack te voorkomen.’
– ‘We moeten samen optrekken en zo veel mogelijk van elkaar leren.’
Opeens komt de cybercrimineel tóch binnen. Wat dan?
Die ene vraag: ‘Wat houdt u ’s nachts wakker?’ Erno Doorenspleet kan er, in zijn rol als cyberspecialist, he-le-maal niets mee. ‘Want als het goed is, ken je het antwoord al. Je moet weten wat speelt bij een bedrijf, elkaars taal spreken.’ Liever dus geen hoog-over-termen van de cyberspecialist richting een bedrijf. ‘Welnee. Daar moeten we echt zo veel mogelijk van wegblijven – ja, ook wij als KPN Security. Cybersecurity gaat ons allemaal aan. Houd het daarom zo simpel mogelijk.’
De impact van cybercrime is groot, stelt de cto bij KPN Security. ‘Maar met paniek zaaien komt niemand verder. Cybercriminaliteit is een gegeven, ontwikkelt mee met de technologie en houdt ons ook in de toekomst bezig. Dan helpt juist een reële inschatting van risico’s en uitdagingen te maken. Weet wat je moet doen. Niet alleen om een hack te voorkomen, maar ook wanneer het dan tóch misgaat.’
Mikken op het bedrijfsproces
Over die respons op wat te doen bij een incident later meer. Want eerst gaat Doorenspleet in op de trends van de afgelopen pakweg anderhalf jaar. De cybercrimineel gaat anders te werk, zo blijkt. ‘Voorheen werden vooral data gestolen. Erg vervelend voor het getroffen bedrijf, al was de schade relatief nog wel te overzien. Misschien kreeg het bedrijf een boete omdat het zelf onzorgvuldig was geweest, en vooruit, reputatieschade was er ook. Maar het bedrijfsproces kon gewoon doorgaan.’
Daarom werd er meestal niet betaald aan de cybercrimineel. ‘Dus moesten kwaadwillende hackers iets anders bedenken. En zie je dat ze nu, naast het stelen van data, gebruikmaken van ransomware voor het platleggen van een systeem. Twee modellen zijn bij elkaar gekomen, zeker nu de technologie daar meer mogelijkheden voor biedt. Platformen, AI-tools, dashboards: wij gebruiken ze, maar cybercriminelen net zo goed. De tijd dat ze met hagel schieten is voorbij. De aanvallen zijn gerichter dan ooit, inclusief monitoring om de resultaten van een aanval in de gaten te houden.’
Veilig in de cloud?
Het is daarom wel typerend, stelt Doorenspleet: in aanloop naar de eeuwwisseling stonden de kranten vol met mogelijke doemscenario’s. ‘Betalingen zouden niet meer lukken, systemen zouden plat komen te liggen. Het viel gelukkig allemaal reuze mee. Maar opvallend was dat we met z’n allen scherp waren. Heel anders dan nu. Bedrijven hebben hun data in de cloud en denken dat het dan wel goed zit. Dat is écht een verkeerde aanname.’
‘Je leert toch ook niet zwemmen door maar wat filmpjes te bekijken?’
Het begint met optimaal beveiligen, al beseft Doorenspleet maar al te goed hoe lastig dat is. ‘Een grote bedrijvengroep heeft al snel tegen de duizend servers. Houd die maar eens allemaal voortdurend up-to-date.’ En neem daarnaast dat kleinere bedrijf, dat minder IT-expertise in huis heeft. Je zou denken dat er voor een cybercrimineel niet zoveel te halen valt. ‘Totdat je beseft dat datzelfde kleine bedrijf deel uitmaakt van de toeleverketen van een groot concern. Net als nog een paar honderd andere bedrijven, die allemaal een mogelijke ingang bieden.’
Vissen in een grotere vijver
Tel daar het vele thuiswerken – en daarmee meer onbeveiligde verbindingen – bij op en Doorenspleet ziet dat het werkterrein voor de cybercrimineel groter is geworden. Hoe goed dichtgetimmerd ook, een hacker met kwade bedoelingen komt altijd binnen. ‘En juist daarom moeten we niet oordelen wanneer een bedrijf slachtoffer wordt. Wie weet wat er precies is gebeurd? In plaats daarvan kunnen we het bedrijf beter helpen.’
Gissen naar de oorzaken van de recente hack bij VDL zal Doorenspleet dan ook niet doen. ‘We kunnen er wél van leren. Want zoals VDL heeft gereageerd, ik vind het knap. Het bedrijf heeft direct gecommuniceerd wat er aan de hand was. Er zelf transparant mee naar buiten komen, is krachtig. Schaamte is nergens voor nodig. Ook het direct zo snel mogelijk uitzetten van alle systemen bleek in het geval van VDL een goede zet. De hackers konden niet verder.’
Kaartje in de binnenzak
Weten wat je bij een hack moet doen: het staat volgens Doorenspleet als het goed is allemaal in een plan, dat bovenal uitvoerbaar moet zijn. ‘Prima, zo’n bellijst bij een hack. Maar wat als die lijst alleen op de server staat en diezelfde server vol zit met ransomware? En mailen ook niet meer kan? Ik sprak laatst de voorman van een technische dienst en vroeg hem naar het plan van het bedrijf. Waarna hij uit de binnenzak van z’n jas een kaartje pakte en me alle benodigde nummers liet zien. Super vond ik dat.’
Speel een hack eens na, zo stelt Doorenspleet bedrijven voor. Ervaar wat werkt, ontdek wat ontbreekt. Het zal voor heel wat bedrijven nieuw zijn, verwacht hij. ‘De helft van de bedrijven heeft niet eens een plan. En maar de helft van de bedrijven wel een plan hebben, test het ook. Dat snap ik niet: zwemmen leer je toch ook niet door maar wat filmpjes te bekijken? Tést het nou.’
Centraal of niet?
Om toch de preventie nog eens te belichten: zouden juist de grotere bedrijven er niet goed aan doen hun IT-infrastructuur zo veel mogelijk te decentraliseren? En zo risico’s te spreiden? Doorenspleet is er voorstander van, mits het op de juiste manier gebeurt. ‘Weet welk proces in welk netwerk draait. En stel jezelf telkens de vraag hoe je dat specifieke onderdeel moet beveiligen. Daarnaast heb je nog altijd te maken met de verbindingen tussen systemen en segmenten. Net als met de overview voor de gehele structuur, waardoor uiteindelijk ook een gedecentraliseerde aanpak complex blijft.’
Veel, zo niet alles valt of staat met de juiste mindset, stelt Doorenspleet. ‘In dat opzicht heeft de maakindustrie die al: veiligheid op de werkvloer staat bij veel bedrijven hoog op de agenda, iedereen handelt ernaar. Zo zou dat ook moeten zijn voor cybersecurity: het is niet iets voor alleen de IT-afdeling, maar net zo goed voor HR, de juristen en de afdeling communicatie. Iedereen moet weten wat te doen om een hack te voorkomen. En ook wat er van hem of haar wordt verwacht wanneer het tóch misgaat.’
Alles verbonden?
Security omvat hoe dan ook het hele bedrijf, zegt Doorenspleet, geen onderdeel mag onderbelicht blijven. ‘Daarom stel ik maakbedrijven weleens de vraag of nou echt álles geconnecteerd moet zijn. Voor een gloednieuwe omgeving is dat prima; nieuwe componenten worden veelal veilig geleverd. Maar hoe zit het met die twintig jaar oude machine? We willen alles maar aan het internet knopen; maar is dat telkens nodig? Alleen al die afweging is onmisbaar voor wie goed wil omgaan met cybersecurity. Heus, iedereen kan zich op de juiste manieren beschermen tegen een aanval, zolang maar duidelijk is wat er moet gebeuren. En nogmaals, wanneer cyberspecialisten en bedrijven dezelfde taal spreken.’
Doorenspleet kan wel over cybersecurity blíjven praten. ‘Ik voel me gewoon betrokken bij het onderwerp. Vandaar dat ik naast mijn werk bij KPN Security lid ben van twee appgroepen met daarin cyberspecialisten uit allerlei hoeken. We schieten elkaar te hulp als dat nodig is, op welk moment ook. En brengen bedrijven, klant of niet, ervan op de hoogte wanneer ze risico lopen. Praten over contracten en wat allemaal nog meer is dan niet aan de orde. Waar het ons om gaat, is allereerst erger voorkomen. Acteren met zo’n community is onmisbaar geworden. We moeten samen optrekken en zo veel mogelijk van elkaar leren. Daarom is het ook zo waardevol om de point of entry te achterhalen: waar is de cybercrimineel binnengekomen? Hoe kan het bedrijf maatregelen treffen en wat kunnen anderen ervan leren? Zulke kennis is goud waard.’
VDL na de hack
Nadat VDL Groep de cyberaanval begin oktober zelf bekendmaakte, liet het bedrijf een maand later weten dat alle 105 werkmaatschappijen weer volledig in bedrijf zijn. Het bedrijf heeft de schade beperkt tot maximaal één dag verlies aan data, zo valt te lezen in een persbericht, waarin VDL’s president-directeur Willem van der Leegte vertelt over de aanpak: ‘Direct na de aanval is op het hoogste niveau een crisisteam geformeerd en is onze eigen IT-afdeling opgeschaald met erkende specialisten op het gebied van cybercrime. We hebben adequaat contact gelegd met autoriteiten op dit gebied en in een vroeg stadium én preventief aangifte gedaan bij de politie en een melding gemaakt bij de Autoriteit Persoonsgegevens. Vanuit veiligheidsoverwegingen zijn direct offline decentrale systemen opgebouwd en hebben we een start gemaakt met het opnieuw opbouwen van onze IT-omgeving. Vervolgens zijn data uit onze eigen, ‘schone’ én tijdig veiliggestelde back-ups teruggeplaatst.’