Hoppenbrouwers: teamwork, preventie en transparantie versus ransomware
Wat moet je doen wanneer je als organisatie getroffen wordt door een ransomware-aanval? In ieder geval niet in paniek raken, snel handelen en vooral: volledige openheid van zaken geven, zowel naar de eigen medewerkers als de buitenwereld. Dat is wat technisch dienstverlener Hoppenbrouwers in juli 2021 deed na een hack als gevolg van de mondiale aanval via een kwetsbaarheid in Kaseya-beheersoftware.
Dergelijke openheid is nog altijd een zeldzaamheid, zo bleek ook tijdens de paneldiscussie op de Dutch IT Security Day, eerder deze maand in Amersfoort. Marcel de Boer, technisch directeur van Hoppenbrouwers, ging echter nog een stap verder: hij schreef het in september gepubliceerde boek ‘Hack’, over de hack en de lessons learned. Tijdens de Dutch IT Security Day nam hij de zaal mee in oorzaken en gevolgen van de aanval.
Iedereen kan gehackt worden
Elke organisatie, groot of klein, kan gehackt worden. Het gebeurde ook Hoppenbrouwers, een technische dienstverlener met een omzet van 320 miljoen euro en 16.000 medewerkers. De focus ligt meer met OT, maar dat raakt ook steeds meer met IT verweven. Een organisatie die in de jaren voorafgaand aan de hack via een kwetsbaarheid in Kaseya-software toch al een en ander gedaan had aan cybersecurity, los van technische oplossingen.
“Ik denk dat we door kennis te delen van onze crisis de wereld een stukje veiliger maken”, zo begon De Boer. Reden waarom hij inmiddels 25 presentaties heeft gehouden voor een grote diversiteit aan gezelschappen: IT-mensen, ondernemers, verzekeraars, financial en zelfs een groep burgemeesters. Niet onlogisch, want het thema leeft enorm en er zijn maar weinig organisaties die er zo open voor uit komen wat de hack hen heeft gekost.
“Bij ons was de uiteindelijke schade ruim vier ton”, vertelde De Boer. “Dat lijkt veel, maar het is een fractie van wat het had kunnen zijn geweest. Doordat we direct na de hack aan de slag gingen, konden we met behulp van een grote groep medewerkers en onze security-leverancier Northwave uiteindelijk na een weekeinde hard werk weer aan de slag. Bij drie weken, wat gemiddeld staat voor de herstelperiode na een hack of ransomware-aanval, zou dat 7,5 miljoen euro aan gederfde inkomsten zijn geweest.”
Veel organisaties denken dat technologie alleen afdoende is om hen te beschermen. Bij Hoppenbrouwers was men al verder, aldus De Boer: “We hadden de belangrijkste risico’s geïdentificeerd, we wisten dat IT ons werk mogelijk maakte maar ook een kwetsbaarheid was. We waren ISO 7000 gecertificeerd en hadden al diverse maatregelen genomen, al hadden we nog geen uitgewerkt crisisplan. Maar het was niet genoeg.”
Hack via Kaseya
Op vrijdag 2 juli 2021 was het raak: samen met een patch van Kaseya kwam einde middag ook ransomware binnen. Binnen een uur was duidelijk dat er een probleem was. Niet alleen medewerkers, ook systeembeheerders kwamen nergens meer binnen. “Mijn IT-team nam vrijdagavond contact op en het was meteen duidelijk dat het niet was om me een goed weekeinde te wensen.”
Algemeen directeur Henny de Haas stond samen met De Boer aan de wieg van het crisisteam. Een team dat uiteindelijk niet alleen IT, maar alle geledingen van het bedrijf en security-vendor Northwave zou omvatten. Want, zo wisten De Haas en De Boer: a) dit kon geen IT-feestje zijn. En b) Na het weekeinde moesten ze gewoon weer hun klanten kunnen helpen. Drie weken plat liggen, dat was geen optie.
“We hadden dus twee dagen”, schetste De Boer. “Het was nog nooit eerder in zo’n korte tijd gelukt, maar we hadden een goede mindset.Ons IT-team focuste zich op het weer up & running krijgen van alle servers, ruim 200 andere collega’s hielpen mee met het terughalen van alle endpoints om die te controleren, een enorme logistieke operatie die het hele weekeinde duurde.”
Teamwork, open communicatie
Wie precies wil weten hoe alles verliep, kan dat hier teruglezen, maar duidelijk mag in ieder geval zijn dat de juiste mindset en vereende krachten ertoe leidden dat in de loop van maandag alle servers weer werkten en alle laptops weer gebruikt konden worden. Wat 7,5 miljoen euro aan misgelopen omzet had kunnen kosten, bleef uiteindelijk tot ruim vier ton beperkt. “Het belangrijkste was het gevoel van teamwork, ook toen we nog niet wisten hoe we er uit moesten komen. Hartverwarmend, alle hulp, dat gaf een boost aan onze ambitie.”
Heel belangrijk was ook de snelle en open communicatie met klanten en medewerkers, vervolgde De Boer. Zo was er zondagavond en opnieuw maandagochtend een webinar voor alle medewerkers waarin precies verteld werd wat er allemaal gebeurd was en wat er allemaal gebeurde om er bovenop te komen. Verder werd WhasApp massaal ingezet om mensen op de hoogte te houden van de voortgang. Zondag werd ook contact opgenomen met klanten en dat werd in de week erna samen met NorthWave herhaald. “Die open communicatie werd enorm gewaardeerd.”
Preventieve maatregelen & lessons learned
Uiteindelijk, concludeerde De Boer, bleek dat preventieve maatregelen echt key zijn om een ransomware-aanval ofwel tegen te gaan, ofwel de impact ervan te minimaliseren. “We hadden al vrij veel op orde, maar zaken zoals monitoring en response nog niet. Dat is inmiddels wel anders. Verder hebben we de login-rechten van beheerders voortaan gesegmenteerd in plaats van netwerkbreed, zodat het moeilijker is om via hun account overal toegang tot te krijgen.”
Wat heeft Hoppenbrouwer verder geleerd: twee zaken, benadrukte De Boer tijdens zijn presentatie. Allereerst dat cybersecurity geen IT-feest is, het hoort op C-level thuis. “Ons probleem was veel breder dan IT. Alleen door het zo ook aan te pakken, konden we de impact van de hack beperken. En alleen zo kunnen we het een volgende keer voorkomen.”
Daarnaast is het een must om de afhankelijkheid van de supply chain tegen het licht te houden. “In ons geval van Kaseya. Er zat een lek in software van een partij die we zonder meer vertrouwden. We hebben geleerd dat we dat niet zonder meer moeten doen, dat we expliciet willen weten of onze toeleveranciers ook veilig zijn.”