Als je bedrijf platligt door ransomware: 'Klanten stonden met knuppels op de stoep'
"Het voelde als een overval. Er was ons iets overkomen waardoor wij ons werk niet meer konden doen", zegt Erik Ros, directeur bij Bakker Logistiek. Zijn bedrijf haalde in april het nieuws na een ransomware-aanval waardoor supermarkten niet konden worden bevoorraad met kaas.
De zorgen over ransomware-aanvallen worden steeds groter: de Nationaal Coördinator Terrorismebestrijding en Veiligheid bestempelde het vandaag tot bedreiging voor de nationale veiligheid.
Naast financiële gevolgen kent een aanval ook een lange persoonlijke nasleep voor de mensen die werken bij getroffen bedrijven, vertelt Ros "Je voelt je enorm machteloos en gefrustreerd, we konden niks meer leveren. Snel daarna gingen we over tot actie, dan ga je in oplossingen denken. Door orders handmatig te verwerken, bijvoorbeeld. We namen direct een cybersecuritybedrijf in de arm en die hebben ons er doorheen geloodst."
'Overvallen'
De aanval wordt ontdekt op 4 april om 2 uur 's nachts. Nog geen twee uur later komt de voltallige directie bijeen in een online crisisteamvergadering. "Het bedrijf draait 24 uur per dag, teams hadden een hapering in het systeem gezien en hadden gelijk zoiets van: hier gaat iets niet goed."
Terwijl een IT-collega wordt gebeld, krijgen ze de eerste melding op het scherm. Het is een boodschap van de hackers.
Als je al bij wijze van spreken je computer een keer niet kan opstarten, denk je toch even: het zal toch niet? Ik wens het niemand toe.
"We waren encrypted, stond er, en moesten om toegang te krijgen tot ons systeem betalen. Om onze klanten te beschermen, zijn toen alle verbindingen tussen ons en onze klanten stilgelegd. We konden niks meer, waren letterlijk overvallen."
Ros had weleens gehoord van een ransomware-aanval, maar het was hem nooit eerder overkomen. "De hackers zijn niet binnengekomen via een phishing mail of een kwaadaardige link. Alles deed het naar behoren en toch is het gebeurd." De hackers maakten gebruik van een lek in Microsoft Exchange, dat veel bedrijven gebruiken voor e-mail.
Niet of maar wanneer
Of er geld is betaald aan de hackers, wil Ros niet zeggen. Wel is er een "oplossing" gevonden. "Daarna moesten we onze hele ict-infrastructuur weer opnieuw opbouwen: nieuwe servers installeren, verbindingen leggen met klanten en extra firewalls. Ook werden alle laptops 'digitaal gewassen'"
Dat alles kostte veel geld. "We moesten producten weggooien die over de datum waren en experts inhuren. Als bedrijf hebben we veel geld verloren, maar het is niet zo dat we hierdoor dreigen om te vallen."
Sommige gevolgen zijn maanden later echter nog steeds voelbaar. "De schrik is er nog steeds. Als je al bij wijze van spreken je computer een keer niet kan opstarten, denk je toch even: het zal toch niet? Ik wens het niemand toe. We hebben er veel van geleerd, dat is mooi, maar de impact is groot."
Het hostingbedrijf van Patrick Brouwer was in 2019 slachtoffer van een ransomeware-aanval. "Ik heb mensen huilend aan de lijn gehad, volwassen mannen die zeggen: ik ben alles kwijt en kan de tent opdoeken."
Woede maar vooral machteloosheid. Het persoonlijke leed na zo'n aanval is soms groot, zegt cybersecurity-expert Joost Gijzel van DataExpert-Interstellar, die bedrijven bijstaat als dit gebeurt. Hij treft vaak chaos aan, als zijn hulp wordt ingeroepen. "Dan probeer ik overzicht te krijgen van de aanval en de gevolgen, en ben ik tegelijkertijd een soort crisis-psycholoog: een schouder om op te huilen en iemand die koffie haalt."
Juist die kant van de aanvallen - de persoonlijke - is volgens Gijzel nog onderbelicht. "Je moet bedenken dat zo'n aanval onverwacht gebeurt en er niet altijd draaiboeken klaar liggen. Vaak was dit al een punt op de bedrijfsagenda dat nog moest worden behandeld: namelijk, wat doen we als we worden getroffen door ransomware?"
Boetekleed
Gijzel vergelijkt een ransomware-aanval met een inbraak in huis. "Daarna zit de schrik er vaak nog lang goed in en je blijft jezelf afvragen; had ik dit kunnen voorkomen?" Maar volgens Gijzel is het vaak niemand te verwijten dat hackers een bedrijf konden binnendringen, behalve de criminelen zelf.
"Individuele collega's trekken vaak het boetekleed aan, zijn bang dat door hen het bedrijf dan op slot zit. Maar het is bijna niet te voorkomen: de vraag is niet zozeer of je bedrijf hier ooit mee te maken krijgen maar eerder wanneer. Dan is het wel handig het al eens te hebben besproken."
Tegelijkertijd hebben veel bedrijven hun digitale zaakjes ook nog niet op orde, waarschuwde de Cyber Security Raad onlangs. Dat adviesorgaan van het kabinet ziet dat veel bedrijven denken geen slachtoffer te zullen worden. Zelfs basale beveiligingsmaatregelen worden niet nageleefd, waardoor er voor criminelen veel laaghangend fruit is.
Burnouts, woede, maar ook de neiging tot autoritair gedrag: het zijn allemaal gevolgen van een aanval die Gijzel heeft gezien. "Je zou bijna cyberslachtofferlijn moeten openen. Gelukkig is er steeds meer aandacht voor dit soort aanvallen, hopelijk ook meer voor de persoonlijke gevolgen."
