‘Hackers leggen met gemak een hele organisatie stil’

Eén klik op een verkeerd linkje is voor een hacker al voldoende om toegang te krijgen tot alle software van een organisatie. Wat betekent het om gehackt te worden? En hoe snel ben je dan weer operationeel?

“Voor hackers is het niet moeilijk om een volledige organisatie stil te leggen”, zegt Martijn Hoogesteger, manager CERT bij Northwave. “Het komt voor dat hackers een bedrijf binnendringen en vervolgens maar één computer infecteren met het zogenaamde ransomware. Dan valt de schade mee. Maar meestal kiezen ze ervoor om alles te infecteren zodat ze de hele organisatie plat kunnen leggen. Dat betekent dat na een aanval alle bestanden versleuteld zijn, de e-mail onbruikbaar is en bedrijfsprocessen niet meer kunnen draaien omdat het virus ook het ERP-systeem heeft aangetast. Hackers doen dit altijd uit financieel gewin. Ze eisen losgeld. En ze beloven dat ze alles weer herstellen als dat losgeld betaald is.”

Dit lijkt me een horrorscenario. Hoe komen die hackers het systeem binnen?
“Doordat iemand op een verkeerd linkje klikt. Of doordat mensen voorspelbare wachtwoorden gebruiken. Dit geeft een hacker de kans om een virus in het systeem te installeren. Vervolgens blijven ze weken of soms zelfs maanden in het systeem aanwezig, zonder dat iemand iets in de gaten heeft. Zo kunnen ze de hele omgeving infecteren. Ook kunnen ze dan zien welke omvang het bedrijf heeft, zodat ze weten hoeveel losgeld ze kunnen vragen.”

Kun je zien of merken dat een hacker je systeem binnengedrongen is?
“Dat is erg moeilijk als je geen bewaking op je digitale omgeving hebt. Toch komt het een enkele keer voor dat medewerkers het snel signaleren. Ze merken bijvoorbeeld dat hun e-mail het niet meer doet of ze zien dat bestanden versleuteld worden. In die gevallen is het zaak om snel aan de bel te trekken. Dan is het nog mogelijk om het versleutelen van nieuwe bestanden te stoppen of om back-ups veilig te stellen. Als je wel zo'n digitale bewaking hebt, bijvoorbeeld met software die de kenmerken van de aanval direct detecteert, kan je ook direct reageren. De hacker kan dan niets.”

Wat kunnen jullie doen als een hacker het hele systeem heeft platgelegd?
“Stap 1 is het probleem zo veel mogelijk beperken. Meestal betekent dit dat we de geraakte systemen afsluiten van het netwerk. Het komt voor dat een hacker nog bezig is om nieuwe bestanden te versleutelen. We kunnen ervoor zorgen dat dat stopt. Stap 2 is dat we de virussen verwijderen. Dat kost tijd. Sommige bedrijven hebben slechts vijf servers en dan kost dit een paar dagen. Grote bedrijven hebben soms wel 500 servers. Dan kan het wel weken duren voordat alles schoon is.
Dat is erg vervelend. Toch is het belangrijk dat dit secuur gebeurt, want als je een geïnfecteerde server opnieuw aansluit, kan het hele schone netwerk weer geïnfecteerd raken. De laatste stap is dat de organisatie de opgeschoonde servers weer kan gebruiken en dat processen weer starten.”

Hoe lang ligt een bedrijf meestal stil na een cyberaanval?
“Daar is geen eenduidig antwoord op te geven. Maar bij het opschonen van servers kun je wel prioriteiten stellen. In een fabriek betekent dit bijvoorbeeld dat je begint met de systemen die een relatie hebben met de productie. Zo kun je ervoor zorgen dat een productielijn bijvoorbeeld al na twee dagen draait, ook al zijn andere systemen nog niet schoon. Zo probeer je de schade zo veel mogelijk te beperken.”

Hoeveel gegevens ben je kwijt na een cyberaanval?
“In de meeste gevallen zien we dat bedrijven geen back-up hebben of dat de hacker de back-up volledig heeft vernietigd. Dit betekent dat alle data verloren zijn gegaan. Soms hebben ze toch nog een back-up waar ze gebruik van kunnen maken. Ook heeft de financiële afdeling meestal alle facturen uitgeprint. Je kunt dan overwegen om al die gegevens weer handmatig in het systeem te zetten. Dit verlies aan data is voor bedrijven een overweging om toch met criminelen te gaan onderhandelen, ook al zouden wij dat nooit adviseren. Je sponsort daarmee een crimineel systeem. In de praktijk zien we vrijwel altijd dat criminelen die losgeld krijgen, goed meewerken om alles weer te herstellen. Zij zorgen er dan voor dat alle systemen weer werken en dat alle data weer beschikbaar is.”

Hoe groot is de schade veelal na een cyberaanval?
“Dat is moeilijk te bepalen. Hoeveel kost het om een week niet te produceren? Wat betekent het als alle data verloren zijn gegaan? En hoe groot is de reputatieschade? De kosten van een cyberaanval zijn vaak omvangrijk en verdeeld over veel gebieden. We zien vaak dat de schade wel tienduizenden euro’s tot tonnen is.”

Hoe kun je ervoor zorgen dat het je niet nog een keer overkomt?
“Het enige voordeel van een cyberaanval is dat het de kwetsbare punten van een organisatie blootlegt. Daar kun je van leren. Bij de ene organisatie betekent dit dat het verstandig is om medewerkers beter op te leiden, zodat ze verdachte linkjes herkennen. Bij de andere organisatie is een betere technische update de oplossing. Feit is dat een cyberaanval voor vrijwel elk bedrijf een eyeopener is. Het is vaak de aanleiding om de cybersecurity te verbeteren en daarmee is de kans dat dit nog een keer gebeurt aanzienlijk kleiner.”