Oproep na kaas-hack: 'Bestempel voedselvoorziening als vitale infrastructuur'
Bedrijven die zich bezighouden met de voedselvoorziening in Nederland kunnen nu bij een hack niet aankloppen voor hulp bij het Nationaal Cyber Security Centrum (NCSC). Daar moet verandering in komen, zegt Dave Maasland van IT-beveiligingsbedrijf ESET naar aanleiding van de hack bij Bakker Logistiek.
Door een gijzelsoftware-aanval bij dat bedrijf kon er dagenlang minder voedsel aan onder meer Albert Heijn geleverd worden en raakten kaasschappen leeg. Het NCSC helpt nu alleen een selecte groep bedrijven die als vitale infrastructuur worden gezien, zoals de elektriciteitsvoorziening, internettoegang, drinkwater en het betalingsverkeer. De voedselvoorziening valt daarbuiten.
"Ik ben bang dat dit vaker gaat gebeuren", zegt Maasland over de aanval op het logistiek bedrijf. "Wat als meerdere partijen plat gaan en niet alleen de kaas opraakt, maar ook brood, wc-papier, et cetera? Nu laten we bedrijven zelf aanmodderen en kunnen ze niet het NCSC bellen. Dat is niet verstandig. De voedselsector moet hoger op de agenda."
'Grote kans dat bedrijf betaalt'
Het NCSC zegt vandaag geen vragen van de NOS te kunnen beantwoorden over de hack bij Bakker en verwijst door naar het CBL, de brancheorganisatie van supermarkten.
De directeur van Bakker Logistiek wil niet zeggen of er aan hackers geld betaald is om weer controle te krijgen over de IT-systemen. Cybercrime-expert Maasland: "Criminelen weten dat er bij dit soort bedrijven heel veel druk is om er snel iets aan te doen als de IT platligt. Dan is de kans groot dat een bedrijf betaalt."
Volgens Bakker Logistiek was de beveiliging vóór de aanval op orde. Maar daar gelooft ethisch hacker en beveiligingsexpert Sijmen Ruwhof weinig van. "Het is heel lullig om te zeggen, maar dit was allemaal te voorkomen geweest. Als gijzelsoftware je bedrijfsnetwerk op slot zet, bewijst dat juist dat de beveiliging totaal niet op orde was."
Bakker-directeur Toon Verhoeven vermoedt dat de hack voortkwam uit het lek in Microsoft Exchange Server, dat vorige maand naar buiten kwam. "Veel bedrijven zijn via dat lek gehackt. Dat kritieke lek had men toen per omgaande moeten repareren", zegt Ruwhof daarover. "Dan had de gijzelsoftware waarschijnlijk niet geïnstalleerd kunnen worden. Als je zegt dat je beveiliging op orde is, dan heb ik daar bepaalde verwachtingen bij qua maatregelen. Maar daar gaat dit bedrijf absoluut niet aan voldoen."
Backupsysteem
Een bedrijf moet volgens Ruwhof onder meer regelmatig beveiligingstesten uitvoeren en continu monitoren of hackers op het netwerk zitten. "En je moet je IT-infrastructuur redundant maken. Dat betekent dat als er iets uitvalt of gehackt wordt, je altijd een recente back-up of andere IT-systemen klaar hebt staan, zodat de dienstverlening er niet uit ligt. Blijkbaar was de IT bij dit bedrijf niet redundant genoeg."
Dave Maasland van ESET denkt dat er mogelijk met verouderde systemen gewerkt is. "Bij bedrijven in de logistiek en de maakindustrie zie je vaak dat alles altijd moet draaien. Je legt niet even een lopende band stil om software te updaten, dan heb je meteen een probleem. Daardoor zie je in deze sectoren een bovengemiddeld gebruik van verouderde systemen, men is stugger met updaten."
'Hele bedrijfstak geworden'
Volgens ethisch hacker Ruwhof is gijzelsoftware de afgelopen jaren een "goed geoliede bedrijfstak" geworden onder criminelen. "Het is vrij laagdrempelig om in te zetten als crimineel. De opbrengst van je investeringen is hoog en de pakkans laag. Het is een ontwikkelde markt, met aanbieders van gijzelsoftware en bedrijfjes die je verdiende geld weer witwassen."
Hij vindt ook dat de overheid en het Nationaal Cyber Security Centrum (NCSC) meer zouden kunnen doen tegen dit soort aanvallen. "Veel bedrijven vallen buiten de scope van de dienstverlening van het NCSC. Dat leidt tot schrijnende situaties. Je kunt als overheid niet toekijken terwijl je weet hebt van het feit dat ergens de systemen wagenwijd open staan en het waarschijnlijk is dat criminelen naar binnen gaan."