Hoppenbrouwers schreef boek over cyberaanval

De vrijdagmiddagborrel bij Hoppenbrouwers werd op 2 juli 2021 wreed verstoord door een computerhack. De technisch dienstverlener werd slachtoffer van een wereldwijde cyberaanval op de software van Kaseya, waarvan Hoppenbrouwers nota bene nét een update had geïnstalleerd. “Een Paard van Troje”, noemt Financieel Directeur Marcel de Boer dat beveiligingssysteem achteraf. Het bedrijf schreef er het boek Hack over, vooral over de emotionele kant van de aanval. Marcel de Boer geeft op 1 december 2022 tijdens de Dutch IT Security Day van Dutch IT-channel & Executive People een presentatie over het boek 'Hack' waarbij de bezoekers een gratis exemplaar krijgen zolang de voorraad strekt. Mensen kunnen zich nu hiervoor inschrijven!

Marcel de Boer werkt sinds 1997 bij Hoppenbrouwers Techniek, de technisch dienstverlener uit Brabant die de installatie voor z'n rekening neemt in vrijwel alle soorten gebouwen, van woonhuizen tot kantoren en van distributiehallen tot bijvoorbeeld ziekenhuizen. Het bedrijf verzorgt een diversiteit aan technische installaties, zoals klimaat- of beveiligingsinstallaties, en doet bovendien de industriële automatisering bij onder meer productiebedrijven. Hoppenbrouwers groeide de afgelopen decennia van 60 naar 1700 medewerkers en is inmiddels gevestigd op twintig locaties in heel Nederland, nog afgezien van alle projectlocaties.

De Boer is sinds 2008 Financieel Directeur, maar ging tot begin 2022 ook over de IT bij Hoppenbrouwers. “Dus het feest dat losbarstte op vrijdagavond 2 juli 2021, herinner ik me maar al te goed”, vertelt hij. “Het was rond half zeven, een medewerker kon niet inloggen en belde de helpdesk. De dienstdoende helpdeskmedewerker aldaar ging aanvankelijk uit van een kleinigheid, iets met een wachtwoord. Maar hij kwam zelf ook niet in het systeem, en hoe verder hij keek en zocht en hoe meer opgetrommelde collega's en partners het ook niet begrepen, hoe duidelijker het werd: ransomware. Toen hebben ze mij gebeld en hebben we als eerste actie onze hulplijn naar de verzekeraar ingeschakeld. Die schakelde op zijn beurt Northwave in, de securityspecialist die al vrij vroeg op de avond ontdekte dat het probleem in de software van Kaseya zat. Er was een wereldwijde aanval op dat beveiligingssysteem, zagen we op het nieuws en op internet.”

Mobilisatie

De conclusie was al snel dat Hoppenbrouwers niet alleen een probleem had met de centrale systemen, maar ook met alle endpoints in het land. “Dat zijn dus niet alleen de pc's op onze vestigingen en projectlocaties, maar ook de ruim tweeduizend laptops bij medewerkers thuis”, wist De Boer. “De cyberaanval was daarom niet alleen technisch een enorme uitdaging maar ook logistiek gezien. We hebben op die bewuste vrijdagavond veel mensen gemobiliseerd, om de volgende dag al die laptops op een centrale vestiging in ontvangst te kunnen nemen. Enigszins beschamend stond het speciale draaiboek dat wel degelijk klaar lag voor dit soort situaties, 'op de computer'. Daar konden we dus niet bij. Onze directeur en eigenaar Henny de Haas heeft toen de lijnen uitgezet. Als technisch dienstverlener met veel engineers in de industriële automatisering in dienst, hadden we al op zaterdagochtend genoeg mensen op de been met verstand van IT en laptops. Northwave maakte een stappenplan: wat doet iedereen met z'n laptop?”

De hele zaterdag heeft Hoppenbrouwers met 200 mensen onder leiding van Henny de Haas gewerkt, met ieder uur een status update. De Boer: “De overige circa 1300 medewerkers werden geïnformeerd met een verbogen websitepagina. In de loop van de zaterdag werd ook de buitenwereld op de hoogte gesteld. Je houdt zoiets toch niet stil, en bovendien maken wij liever zelf het nieuws.”

Back-ups terugzetten

Een van de belangrijkste 'uitdagingen', zoals De Boer het steeds noemt, was het centrale systeem. “Hoe zetten we de back-ups terug? Op zaterdagochtend kwam de doorbraak, toen IT-leverancier HPE voorstelde om een snapshot van vrijdagmiddag 12 uur op hun data storage systeem te gebruiken. We hadden dat systeem een aantal maanden voor de hack aangeschaft en wisten niet dat dat kon. Wij konden vervolgens nadenken over de maandagochtend: hoe gaan we dan verder, als het werk van vrijdagmiddag weg is? Wat betekent dat voor onze klanten, teams en projecten? Zondagavond draaiden de belangrijkste systemen weer. Er waren de week daarop natuurlijk genoeg 'losse eindjes', maar in de basis konden we maandagochtend weer aan het werk, zonder losgeld te hebben betaald. We waren uiteindelijk maar een halve dag werk kwijt, een schade van (slechts) vier ton.”

600 pre-orders

Over de ervaringen in het bewuste weekend schreef Hoppenbrouwers het boek Hack. “Het is geen technisch boek”, zegt De Boer. “Wij vinden het bijzonder dat medewerkers vrijdagmiddag vlak voor de hack uitlogden en ondanks alles tóch op maandagochtend weer aan het werk konden. Hack gaat over kernwaarden als samenwerking en is allereerst bedoeld voor de 1500 medewerkers die het weekend niet meemaakten. Dat zij lezen over de emotionele kant van het gebeuren.”

Maar er is ook belangstelling van buiten Hoppenbrouwers, zelfs van organisaties waar De Boer en de zijnen nog nooit van hadden gehoord. “Al voor de lancering kregen we zeshonderd pre-orders. We overwegen inmiddels een tweede druk, de eerste druk was goed voor 3000 boeken. Vergeet niet: juist kleinere bedrijven lopen risico's. Die kijken al gauw naar hun IT-partner, want die zal het wel weten, denken ze. Maar is de nood aan de man, dan komen ze erachter dat dit écht een aparte expertise is. Wie bel je op zo'n vrijdagavond? Vandaar ons idee van een speciaal telefoonnummer: '115, voor een gehackt bedrijf'. Samen met Cyberveilig Nederland willen we deze boodschap onder de aandacht brengen in politiek Den Haag.”

Chef sage

Hoppenbrouwers had IT wel degelijk als een van de belangrijkste bedrijfsrisico’s gedefinieerd, ook vanwege de ketenafhankelijkheid. “We waren al vóór de hack ISO 27001 gecertificeerd, hadden een goede cyberverzekering en deden aan bewustwording bij onze mensen”, besluit de Boer. “Dus in de basis hadden we de boel best op orde, dacht ik. Maar de voornaamste conclusie van de hack is dat cyber security niet alleen een IT-feestje is. Het hoort thuis op de agenda van de eindverantwoordelijke(n) in een organisatie. Als dit je overkomt, moet je ook buiten de IT veel organiseren, en héél veel communiceren. Henny de Haas zag dat heel goed. Hij kon moeilijk zeggen: de IT-afdeling moet het maar oplossen. Dit is chef sage.”

Marcel de Boer geeft op donderdag 1 december 2022 tijdens de Dutch IT Security Day een presentatie over het boek 'Hack' waarbij de bezoekers een gratis exemplaar krijgen zoalng de voorraad strekt. Mensen kunnen zich nu hiervoor inschrijven!

Door: Jeroen Bordewijk (tekst) en Witold Kepinski (interview)