Op 13 oktober 2019 werd de firma Pilz internationaal geraakt door een zogenaamde ransomware aanval: Betaal en we geven je weer toegang tot je bestanden. Het bedrijf weigerde op de chantage in te gaan. Vijf jaar later maken we de balans op. ‘Cybersecurity moet echt een serieus onderdeel van je bedrijfsvoering zijn.’
Welke lessen leerde Pilz uit de cyberaanval die het bedrijf raakte?
Om in het kort een beeld te schetsen: de computers, laptops, servers waren versleuteld en de bestanden onbereikbaar. In de nacht van zaterdag op zondag had een goed gecoördineerde aanval plaatsgevonden op alle internationale pc’s binnen de Pilz-organisatie. ‘Achteraf gezien is er sprake geweest van maandenlange voorbereiding’, vertelt Peter Eland, directeur van Pilz Nederland. ‘Door middel van social engineering zijn ze iedere keer een stapje verder gekomen. En heel geleidelijk is alles opgezet voor één grote aanval. En toen bleek: Het was compleet anders dan de scenario’s die klaar lagen.’
De onderlinge communicatie verliep via een snel opgezette groepsapp en er werden tijdelijke gmail-adressen aangemaakt om naar buiten te communiceren. De gedachte binnen Pilz voorafgaand aan de hack was dat alle hardware en software in eigen beheer moest blijven omdat dat het veiligst werd geacht. Eland: ‘Het was ons zelfs verboden iets in de cloud te doen. In de nieuwe situatie is het hele ict-landschap opnieuw ontworpen en nu werken we juist waar mogelijk in de cloud. Dat biedt qua beveiliging ook de nodige voordelen ten opzichte van lokaal beheer. Sterker nog, door alles in eigen beheer te houden hadden de hackers via één ingang het hele netwerk te grazen.’
Het lukt altijd
De structuur van het huidige ict-netwerk is compleet anders. ‘We gebruiken onder meer meervoudige firewalls, andere standaarden en VLAN’s voor het scheiden van functionele netwerksegmenten. Dat doe je niet in een dag, dat was echt een hele lastige periode. Want de eerste week heeft iedereen begrip voor je situatie, maar als het langer duurt dan worden klanten toch ongeduldig.’
‘Door alles in eigen beheer te houden hadden de hackers via één ingang het hele netwerk te grazen’
Eland stelt: ‘Het belangrijkste dat je voor ogen moet houden, is: als hackers echt binnen willen komen, lukt het ze altijd. De hoogste prioriteit heeft de vraag: wat doen we áls het gebeurt? Resilience – hoe ga ik ermee om. En dat bleken we niet op orde te hebben. Er werd een internationaal crisisteam opgericht dat dagelijks via een videoverbinding vergaderde. Zo kregen we steeds beter een beeld van de omvang van de besmetting, wat er wel geraakt was, en ook wat niet. We hielden wekelijks een vergadering met de salesmensen om hen te ondersteunen om de klanten te blijven bedienen.’
Bezorgde klanten
Arjan van Bommel, directeur van de afdeling services: ‘Klanten wilden weten wat het voor hen betekende en of ze risico liepen. Dat was niet het geval, SAP werd niet geraakt, de productiemachines werden niet geraakt, de producten hebben geen risico gelopen.’
Toen alles weer up-and-running was, brak de coronaperiode aan. ‘De meeste bedrijven hadden geen infrastructuur om mensen vanuit huis te laten werken, maar dat was bij ons inmiddels helemaal ingericht. We hadden alles in de cloud en iedereen kon zijn werk volledig vanuit huis doen. Teams was ook al helemaal ingeburgerd, dat was een geluk bij een ongeluk, zou je kunnen zeggen’, grapt Eland.
Continu gevecht
Binnen Pilz is er nu nog steeds een continu gevecht tussen cybersecurity en efficiency. ‘Áls er een datalek is, dan moet je zorgen voor de juiste aanpak, met externe ondersteuning en de interne afdeling, en je moet altijd melding maken bij de juiste instanties. Cybersecurity moet echt een serieus onderdeel van je bedrijfsvoering zijn’, aldus Eland. In de nieuwe machineverordening is het dan ook opgenomen als belangrijk onderdeel en ook de NIS2-richtlijn moet helpen om het echt op de kaart te krijgen. ‘Als producent van componenten moet je ook voldoen aan de Cyber Resilience Act en ervoor zorgen dat je producten gedurende de levenscyclus cyberveilig zijn. Deze richtlijnen en wetten hebben echte impact op je organisatie, alles wat je na 2027 uitlevert, moet voldoen aan strenge eisen. Er gaan jaren overheen bij de ontwikkeling van nieuwe componenten, dus kan dit als gevolg hebben dat bepaalde producten eerder uit worden gefaseerd. Bij Pilz richten we ons erop om altijd form, fit en function te behouden.’
Link magazine oktober/november 2024. Thema: Data delen in de keten, cybersecurity en beveiliging. Vraag exemplaar op: mireille.vanginkel@linkmagazine.nl
Safety & security
Deze nieuwe en strenge wetten dwingen je om je roadmap aan te passen, je moet je tijdig conformeren aan wetgeving. Van Bommel vult aan: ‘Er is waarschijnlijk geen bedrijf zo bezig als wij met de combinatie van producten en diensten. Want je hebt geen safety zonder security. Een systeem dat te manipuleren is, geeft schijnveiligheid. Dus bij de beoordeling van een systeem kijken we naar beide aspecten. Door de groeiende aandacht voor cybersecurity in de afgelopen jaren steeg de vraag naar onze diensten op dit gebied heel sterk. Daarom hebben we er een aparte tak voor ingericht. Want systemen hoeven niet helemaal verkeerd te zijn als ze niet voldoen, soms kun je met een paar kleine aanpassingen het geheel al beter maken. We hebben een aantal oplossingen naar de markt gebracht, bijvoorbeeld Identification and Access Management, dat slaat heel goed aan bij de eindgebruikers én bij de machinebouwers. Niet dichttimmeren, maar toegang reguleren en zo je risico’s beperken.’
Bewuster
Van Bommel ziet vooral dat iedereen er nu veel bewuster mee bezig is. ‘Waar je bij procesbedrijven iedereen de trapleuningen vast ziet houden, zie je bij ons dat iedereen met industrial security bezig is. Iedereen logt altijd uit van zijn systeem als hij van zijn plaats af loopt en houdt elkaar daar ook scherp op. Intern verspreiden we wekelijks een it-update met tips, artikelen en quick wins. We houden het top of mind, zo kun je geen gegevens uit je bedrijfsmail kopiëren naar een andere mail en opent de firewall alle linkjes in inkomende mails. We worden dan ook bijna standaard uitgeschreven uit nieuwsbrieven’, lacht Van Bommel. En ook op de telefoons geldt een streng regime als het gaat om apps en waar die toegang toe krijgen.
Social engineering blijft, stelt Eland. ‘En kunstmatige intelligentie maakt het nog veel gevaarlijker. Vanuit ons hoofdkantoor in Duitsland wordt er heel streng geselecteerd op welke programma’s er mogen worden gebruikt. Dan loop je natuurlijk het gevaar dat mensen proberen daar zelf iets op te verzinnen, maar we bespreken dat met elkaar. Waarom heb je dat nodig en wat is een veilig alternatief? Denk bijvoorbeeld aan passwordmanagers, websites of clouddiensten. We moeten met zijn allen bewust kijken waarom iets zou moeten worden gebruikt en of het veilig is. En we blijven onze kennis delen om anderen te helpen.’ En voor wat betreft de resilience: ‘De scenario’s en procedures zijn aangepast. Ook op papier. Zodat we die altijd paraat hebben en snel weer up and running kunnen zijn.’
