Hoppenbrouwers Techniek ziet cyber­aanval als uitdaging

Vrijdagavond lag het hele bedrijf plat en maandagochtend ging iedereen weer min of meer normaal aan het werk. Hoppenbrouwers Techniek werd in 2021 slachtoffer van een cyberaanval en werkte een weekend lang met man en macht om de gevolgen zo klein mogelijk te houden. Eigenaar Henny de Haas is er opmerkelijk positief uitgekomen. “Ik voel me erdoor gesterkt.”

De cyberaanval werd ontdekt toen een medewerker op 2 juli rond half zeven ‘s avonds de helpdesk belde. Hij kwam niet meer in zijn laptop. Al snel bleek dat de helpdesk zelf ook problemen had. “Toen was de conclusie: we zijn waarschijnlijk gehackt”, vertelt Henny de Haas. Hoppenbrouwers Techniek was slachtoffer van een wereldwijde cyberaanval. “De malware is binnengekomen via een update van onze Kaseya-software, waarmee we eindpunten en systemen kunnen beheren op afstand. Iedereen die deze software gebruikt en de update had geïnstalleerd werd erdoor geraakt.”

Een raampje vinden

En dat terwijl De Haas dacht dat hij zich goed had gewapend tegen cyberaanvallen. “We waren al een jaar of vier verzekerd tegen schade door hackers. Onze beveiliging was gecertificeerd, we gebruiken dubbele authenticatie bij inloggen en onze computers worden goed in de gaten gehouden. Medewerkers moeten bij indiensttreding een examen afleggen over alle regels rond wifi, wachtwoorden, enzovoort. Dus het bewustzijn onder de medewerkers is vrij hoog. Maar die hackers hoeven maar ergens een raampje te vinden en ze zijn binnen.”

Alles kon besmet zijn

Na de melding op vrijdagavond nam de ICT-afdeling contact op met een gespecialiseerd beveiligingsbedrijf. “Zij zijn begonnen met inventariseren en een plan van aanpak te maken voor het komende weekend.” Toen De Haas zelf was gealarmeerd, begreep hij al snel dat het niet alleen om de servers ging. “Van de laptops tot de beveiliging van de gebouwen zelf, alles kon besmet zijn. Naast de ICT-afdeling hebben heel veel andere medewerkers ICT-kennis, dus hebben we teams gemaakt die allemaal een deel van de systemen voor hun rekening namen. Iedereen die dacht dat hij iets kon bijdragen, mocht meedenken.”

Achteraf denk ik dat we een protocol hadden moeten hebben en dat testen. Je doet toch ook brandoefeningen?

Webinars voor personeel

Op zaterdag was in elke Hoppenbrouwers-vestiging een team van medewerkers bezig met computers nakijken, bouw- en installatieprojecten nalopen, monteurs bellen. “Zaterdagmiddag hadden we 80 procent van de problemen al opgelost. Zaterdagavond konden we een back-up terugzetten en werd de server langzaam maar zeker opgeschoond. Zondagavond kon ik weer inloggen en op maandag konden we weer aan de slag.” Tussendoor werden het personeel en de buitenwereld op de hoogte gehouden. “Met behulp van de afdeling communicatie heb ik twee webinars gehouden, waarin ik alle stappen die we namen voor het personeel heb toegelicht. Op een speciale website konden medewerkers constant updates lezen. En ik heb nog vijf radiozenders en een aantal tv-zenders te woord gestaan.”

Vraag om losgeld

Na het weekend werd het werk weer opgepakt. “We hebben nog wat klanten gebeld, omdat enkele facturen uit ons systeem waren verdwenen, maar afgezien daarvan viel de schade erg mee. De ICT-afdeling en de beveiligingsspecialisten zijn wel nog ruim een week bezig geweest om de laatste dingen na te lopen en op te schonen.” En ja, dan was er natuurlijk nog de vraag om losgeld. “Dit was een wereldwijde aanval op meer dan duizend bedrijven en de hackers eisten zeventig miljoen aan losgeld. Hadden we met een collectezakje moeten rondgaan? We zijn er niet op ingegaan en hebben niet betaald. We waren al druk genoeg met het dichten van de gaten.”

Protocollen oefenen

Terugkijkend is De Haas verbaasd over hoe zijn bedrijf zo snel tot actie overging. “We hadden geen plan vooraf wat we zouden doen in een dergelijk geval. Maar ik had ook niet van tevoren kunnen bedenken dat we tijdens dat weekend zo snel een effectieve aanpak zouden ontwikkelen. Achteraf denk ik dat we een protocol hadden moeten hebben en dat ook hadden moeten testen. Dat doet niemand, maar eigenlijk is dat gek. Je doet toch ook brandoefeningen?”

Cohesie binnen het bedrijf

Op de vraag wat De Haas hiervan heeft geleerd, komt een verrassend antwoord: “Het klinkt misschien gek, maar ik had het niet willen missen. Dit gun je niemand, maar ik heb er veel van geleerd. Binnen ons bedrijf werken we in zelfsturende teams en ligt de verantwoordelijkheid laag in de organisatie, dus medewerkers zijn gewend om mee te denken. Door al die mensen in een crisis bij elkaar te brengen, organiseer je zoveel denkkracht, dan komt de oplossing vanzelf. Ik vond de cohesie die in het bedrijf ontstond heel ontroerend.” Daarnaast is het bewustzijn nog scherper geworden dan voorheen. “Want de kans dat we nog eens worden gehackt, is net zo groot als dat ieder ander wordt geraakt. Natuurlijk houden we de systemen nog beter in de gaten, hebben we software die vreemde activiteiten op het netwerk signaleert en hebben we eigen cyberspecialisten. Maar als hackers echt op zoek gaan, vinden ze altijd wel een zwak punt. Alleen, net als bij inbrekers, degene met het beste slot lopen ze misschien voorbij.”

Cyberaanval als uitdaging

De tegenslag heeft De Haas in elk geval niet bij de pakken doen neerzitten. Het bedrijf heeft een ambitieuze toekomstvisie voor 2030 en die wordt volgens plan uitgevoerd, zegt De Haas. “We denken onze omzet te verdrievoudigen en het aantal vestigingen te verdubbelen, zodat we echt landelijke dekking krijgen. Tegen die tijd hebben we 5000 medewerkers in dienst, zijn we 100 procent CO2-neutraal en circulair ingericht en gaan we voor een excellente klantbeleving. Die cyberaanval zie ik als een uitdaging en ik voel me erdoor gesterkt.”