Nog steeds gaat zo’n één procent van de ontvangers in op een phishingmail
De nieuwe Europese richtlijn (NIS2) moet een dam opwerpen tegen cybercriminaliteit. Dat blijkt een noodzakelijk kwaad. Bijna negen op de tien Benelux-bedrijven werd in 2022 getroffen door ransomware. De impact is groot, getuigen verschillende Belgische organisaties.
De concrete vorm van de nieuwe Europese richtlijn NIS2, die eind 2024 wordt ingevoerd, is vooralsnog onduidelijk. De Belgische regering moet ze nog omvormen tot een wet. De minimale maatregelen om cybercriminaliteit tegen te gaan, zijn wel al gekend. Hieronder vallen onder andere het verplicht (laten) uitvoeren van een risicoanalyse, het bezitten van een incident response plan, een cybersecuritytraining voor het management, het bezitten van een business continuity plan, en het evalueren van de effectiviteit van de genomen beveiligingsmaatregelen.
“Zo’n maatregelen zijn belangrijk en zullen enkel aan belang winnen”, zegt Wim Muylaert, afscheidnemend business unit controller projects Europe van Hydro. In het voorjaar van 2019 was de internationale aluminiumgroep Norsk Hydro het slachtoffer van een cyberaanval die de meeste operaties verspreid over de hele wereld lamlegde. Hackers waren erin geslaagd de computerarchitectuur binnen te dringen via een e-mailbericht, al is de precieze oorzaak nooit meegedeeld.
Wim Muylaert: “Nadien konden de hackers talloze servers overnemen. Werknemers hadden geen toegang meer tot essentiële gegevens en toepassingen. De financiële afdeling, die gebruik maakt van boekhoudsystemen in een privécloud, had geen toegang meer tot de boekhouding, betalings- en andere toepassingen. Ook de productie was zwaar getroffen. Veel fabrieken hadden geen toegang meer tot hun gegevens die zich op computerservers bevonden. De fabriek van Lichtervelde slaagde erin om verder te werken omdat een van de medewerkers de gewoonte had om het orderboek dagelijks uit te printen. Dat bleek in die omstandigheden goud waard.”
Manuele prints bleken ook in het geval van zorggroep Curando een godsgeschenk. Op een zondagochtend in januari van dit jaar stelden de IT-verantwoordelijken een cyberaanval vast op de IT-systemen van Curando. De groep biedt verschillende zorgformules aan, zoals een woonzorgcentrum, een dagverzorgingscentrum, een dienstencentrum, assistentiewoningen en een kortverblijf, verspreid over West- en Oost-Vlaanderen.
“We startten onmiddellijk een intern onderzoek”, blikt Pieter Decloedt, departementshoofd proces- en kwaliteitsbeheer, terug. “De ernst van de aanval werd meteen duidelijk toen bleek dat enkele computerservers ontoegankelijk waren.” Alle systemen werden losgekoppeld om te voorkomen dat de aanval zich verder zou uitbreiden. Een team deed de nodige checks om uit te zoeken wat geïnfecteerd was door de cyberaanval. “Het meest kritische voor ons waren de medicatieschema’s. Die gebruiken we om de juiste medicatie aan de juiste bewoner toe te dienen. Het spreekt voor zich dat dit cruciaal is”, zegt Pieter Decloedt.
“Gelukkig hadden we daar een back-up van en konden we via manuele prints de verschillende afdelingen hun schema’s bezorgen. We stelden alles in het werk om de zorg- en dienstverlening niet in het gedrang te laten komen.”
Tot vandaag weet Pieter Decloedt niet langs welke weg het hackerscollectief zich een ingang wist te verschaffen. Bijna negen op de tien Benelux-bedrijven werd in 2022 het slachtoffer van cybercriminaliteit. Dat blijkt uit het Ransomware Insights-rapport dat Barracuda Networks publiceerde. Bij 69 procent van de getroffen organisaties begon de ransomware-aanval met een schadelijke e-mail. In de Benelux was dat 66 procent. Het gaat bijvoorbeeld om een phishing-e-mail die erop gericht was logingegevens te stelen.
Dat was hoogstwaarschijnlijk ook het geval bij Picanol. In januari 2020 legde een cyberaanval de weefmachinefabrikant gedurende één week stil. Alle productiesites moesten de productie tijdelijk staken. “De eerste mail met de melding van problemen kwam uit China, een uur later merkten we ook in Ieper dat er iets aan de hand was”, blikt vicepresident IT Philip de Bie terug. “We weten uiteindelijk niet precies hoe de hackers erin geslaagd zijn om in onze systemen te geraken, maar volgens de identificatie van de hacker is dat met 95 procent zekerheid via een phishingmail.”
De gevolgen waren groot. Het hele IT-systeem lag stil. De productie kon nog even doorgaan, maar nieuwe orders invoeren lukte niet, waardoor na een tweetal dagen ook dat onderdeel noodgedwongen uitviel.
Picanol speelt sindsdien in op de awareness van gebruikers, die getraind worden in het herkennen van phishingmails. “Nog steeds gaat zo’n één procent van de ontvangers in op een phishingmail en geven ze gebruikersnaam en paswoord. Dat lijkt niet veel, maar op een bestand van tweeduizend werknemers zijn dat nog altijd twintig personen. De bewustwording voor cybercriminaliteit aanscherpen, is een continu verhaal.”
De Europese richtlijn NIS2 ziet Philip de Bie dan ook niet als een zoveelste complianceverplichting. “Het is een noodzakelijk kwaad, al zullen de richtlijn en het wetgevend kader concreet en duidelijk moeten zijn. In principe denk ik dat we vandaag aan alle voorwaarden voldoen. Ik vrees wel dat tal van kleinere ondernemingen niet de middelen of mensen beschikbaar hebben. En dat ze zich niet bewust zijn van hun kwetsbaarheid. Dat is pijnlijk.”
Ook steden en gemeenten hebben steeds vaker te maken met cybercriminaliteit. Eind december 2022 werden de onlinediensten van de stad Diest ’s nachts gehackt. Toen de stadsdiensten op maandagochtend nietsvermoedend aan de slag wilden, bleken de interne systemen niet te werken. De loketdiensten lagen plat, net als de software om inwoners digitaal verder te helpen. Naast de stad zelf werden ook de bibliotheek, verschillende scholen en het lokale cultuurcentrum getroffen.
“We konden geen e-mails beantwoorden of ontvangen, niets lukte nog”, zegt Jo Haenraets, financieel directeur van de stad Diest en het OCMW. Eerder waren onder meer Antwerpen, Genk en Zwijndrecht slachtoffer van cybercriminaliteit. Of het om hetzelfde hackerscollectief ging, weet Jo Haenraets niet. Ironisch genoeg had Diest net voor de hacking nog een ICT-audit gehad. “We scoorden bij de gemiddelde steden in Vlaanderen.”
Ook bij Hydro was cybersecurity geen dode letter binnen de groep, zegt Wim Muylaert. “Het stond eigenlijk altijd vrij hoog op de prioriteitenlijst. Zo deden we vroeger al verscheidene tests om de bewustwording te vergroten, bijvoorbeeld met interne phishingmails.” Na de cyberaanval werden intern de risico’s opnieuw bekeken en de continuïteit van de productie op de eerste plaats gezet.
“Daarom hebben we een decentralisatie van de servers doorgevoerd en de onderlinge verbindingen binnen het netwerk extra beveiligd. Tegelijk zijn we tot het besef gekomen dat we het risico niet volledig kunnen uitsluiten. Uit onze analyses blijkt dat onze organisatie elke dag tussen vijfduizend en tienduizend aanvallen te verduren krijgt.”
Philip de Bie zegt dat Picanol zich vóór de cyberaanval al bewust was van dergelijk gevaar. Het bedrijf was niet onbeschermd. “We waren volop bezig met een securityroadmap, maar werden in snelheid gepakt. Zo was onze automatische follow-up en remediation nog niet geactiveerd. In dat geval blokkeert de securitysoftware de gebruiker en het toestel zodra het iets verdachts detecteert, waarna het interne securityteam kan nagaan of het een normale activiteit (false positive of vals alarm) of een effectieve malwareactiviteit was (positive).”
Het interne beveiligingsteam bij Picanol is intussen opgetrokken tot drie personen. Die volgen dagelijks de alarmen op en bouwen verder aan de securityroadmap. Een aantal geplande maatregelen werd versneld doorgevoerd. Gebruikerstoestellen die niet de juiste beveiligingssoftware aan boord hebben, kunnen niet op het netwerk. “We voerden ook strengere wachtwoordregels in en tweestapsverificatie, via een authenticatieapp met cijfercode, niet via mail”, benadrukt Philip de Bie. “Het is een evenwicht zoeken tussen gebruiksgemak en veiligheid.”
Ook Diest installeerde inmiddels een volledig nieuw netwerk, met verschillende clouddiensten, tweefactorauthenticatie, een doorgedreven back-upbeveiliging met tapes en het worm-principe (write once, read many). “We hebben ingeboet aan gebruiksgemak, maar we hebben veel sprongen gezet richting meer veiligheid. Niemand van het personeel klaagt over de vele veiligheidsparameters, omdat ze weten wat het alternatief is”, glimlacht Jo Haenraets.
Het kostenplaatje voor de schade liep op tot ruim 700.000 euro. Al wil de financieel directeur dat wel nuanceren: “Een groot deel van dat bedrag gaat naar extra investeringen om de cyberveiligheid te verhogen en een nieuwe aanval van cybercriminaliteit in de toekomst te vermijden. Veel van de investeringen stonden op de planning en werden nu versneld doorgevoerd. We hebben zo goed als geen rechtstreekse inkomsten gederfd. Het bedrag gaat bijna volledig naar datarecuperatie, ondersteuning en verdere investeringen (hardware en software) in cyberveiligheid.”
“Onze back-ups waren niet gecompromitteerd”, zegt Philip de Bie van Picanol. Daardoor was de beslissing om niets te betalen gemakkelijker te nemen. “Je hebt enerzijds de ethische kwestie: betaal je een malafide organisatie? Tegelijk is er de bedrijfseconomische vraag: kunnen we sneller opstarten als we betalen?”
Het is een dilemma, erkent Philip de Bie. Maar de back-ups waren er en dus kon Picanol relatief snel en zonder al te grote schade de aanval afslaan. Ook Diest startte geen onderhandelingen op met de cybercriminelen en betaalde ook niets. “Als je daarmee begint, weet je niet waar je eindigt. We wilden vooral zo snel mogelijk alle applicaties opnieuw actief krijgen”, zegt Jo Haenraets.
In het verleden had Curando een verzekering afgesloten voor het geval het slachtoffer zou worden van cybercriminaliteit. “Eerlijk, ik wist niet wat daarvan te verwachten”, aldus Pieter Decloedt, “maar toen we hen contacteerden kwam meteen een taskforce van specialisten in actie.” Via hen hoorde Pieter Decloedt voor het eerst van het hackerscollectief BlackCat, dat effectief achter de aanval zat. In het verleden zorgde dat collectief al voor serieuze problemen bij bijvoorbeeld internationale energiemaatschappijen of de Italiaanse overheid.
“Het werd snel duidelijk dat de hackers effectief data van onze servers versleuteld hadden. Dat konden zij ook bewijzen.” Het hackerscollectief legde Curando intussen ook eisen op. Pieter Decloedt: “In het belang van onze zorgvragers en zorgverleners, en om onze zorg- en dienstverlening te continueren, besliste het bestuursorgaan om onderhandelingen met de hackers op te starten.” Hij gaat liever niet in detail, maar de eis was een aanzienlijk geldbedrag.
“Het bestuursorgaan van Curando, dat in spoedzitting samenkwam, besliste om te betalen, indien noodzakelijk. Dat was niet zozeer ingegeven door de malaise met onze systemen, maar wel wegens de gevoelige data en de daarbij horende privacy van onze bewoners. We wisten niet of ze deze data zouden misbruiken”, zegt Pieter Decloedt. Het onverkwikkelijke verhaal kreeg plots een vreemde wending toen het hackerscollectief zijn eisen liet vallen. Blijkbaar wisten ze aanvankelijk niet dat ze met een zorginstelling te maken hadden.
Als departementshoofd proces- en kwaliteitsbeheer van Curando heeft Pieter Decloedt niet het gevoel dat zijn bedrijf het beveiligen van de systemen als een last of kost beschouwde. “Technisch kreeg ik het allemaal verkocht en niemand stelde dit in vraag. Het menselijke aspect is iets lastiger. De Europese richtlijn NIS2 kan de bewustwording enkel doen toenemen, zowel bij directies als gebruikers.”
Ook bij de stad Diest was het niet meteen een centenkwestie. “We zitten nu boven ons IT-budget voor dit jaar, maar eigenlijk was beveiliging in het verleden niet echt een kwestie van middelen”, zegt financieel directeur Jo Haenraets. “Sinds de cyberaanval is het wel makkelijker om de budgetten hiervoor vrij te maken. Daar hebben we de Europese NIS2-richtlijn niet voor nodig. Voor de bewustwording rond cybercriminaliteit is het zeker nuttig.”
Verdoe jij ook te veel tijd met het opvolgen van alle nieuwtjes in je feed? No worries, wij verzamelen alles wat nieuw is in de finance wereld. Al die nieuwtjes komen wekelijks in jouw mailbox terecht.
