Gehackt: ‘We hadden geen beleid, de impact was enorm’

Met de digitale veiligheid van zijn bedrijf was Joost Fromberg, eigenaar van online marketingbureau ODIV, niet bezig. Liever hielp hij klanten met het bouwen en optimaliseren van websites, social media, e-mailmarketing en analyseren van data. Totdat zijn bedrijf gehackt werd en hij zich maandenlang moest bezighouden met de gevolgen hiervan. Wat gebeurde er precies, wat was het gevolg en wat heeft hij ervan geleerd?

Je bent gehackt. Hoe is dat gegaan?

“Het begon vrij onschuldig. Een collega zei: ‘Hé, er zit iemand iets met mijn mail te doen. Ik krijg een bericht dat iemand in mijn privémail zit en ik kan er zelf niet meer in.’ Het wachtwoord en de tweefactorauthenticatie werkten niet meer. Hij kon nergens meer bij. Ook ons Facebook Business Manager account bleek geblokkeerd. Wij gebruiken deze tool om advertenties van klanten op Facebook en Instagram te tonen. Aan deze tool was de privé-mail van onze collega gekoppeld. We hebben in Facebook Business Manager zo’n 130 advertentie accounts van onze klanten mét hun creditcardgegevens staan. Op dat moment zien we dat er mailtjes binnenkomen en dat gaat maar door. We kunnen zelf niet meer bij de gegevens maar we zien dat er advertenties worden geplaatst met een budget van 5.000 euro per dag. Flinke paniek. We zijn gehackt.”

Kip zonder kop

“Wat moeten we doen? De eerste dag liepen we rond als een kip zonder kop. We hadden nog nooit een hack meegemaakt en ook geen beleid hiervoor. Een stappenplan wat je in zo’n situatie moet doen, hadden we niet. Mijn collega’s en ik sloten ons op in een ruimte en probeerden inzichtelijk te maken welke accounts gehackt waren. Die klanten hebben we gebeld en gevraagd onmiddellijk hun creditcard te blokkeren of de betaalmethode te verwijderen. Facebook schrijft meerdere keren per dag geld af, iedere keer een paar honderd euro. Dus als je er snel bij bent, is de schade te overzien.”

Vermoeiend proces

“Het kostte veel tijd om alle klanten te bellen. Ook klanten waar we al langere tijd niet meer actief waren, moesten we benaderen. Gelukkig bleef de financiële schade beperkt. Toen kwam de vraag: hoe zorgen we ervoor dat we weer verder kunnen met onze advertentieaccounts op Facebook? Hier waren de historie en data van de klanten aan gekoppeld en deze wilden we graag bewaren. Het contact met Facebook was een drama. Iedere keer kregen we weer een nieuwe klantenservicemedewerker die er niets van snapte. We werden telkens doorverwezen en er was echt nul hulp. Een vermoeiend proces.”

Als je al een tijd met elkaar samenwerkt, je fout toegeeft en samen wilt werken aan een oplossing, kun je rekenen op veel begrip

Wat was de impact van de hack?

“De impact voor ons bedrijf was enorm. Het oplossen van de hack heeft ons zo’n zes maanden gekost. De eerste tijd zijn we vooral bezig geweest met het informeren van klanten en het vastleggen daarvan. Dit had ik achteraf gezien anders moeten doen. Door niet zo strikt bij te houden welke klant we al geïnformeerd hadden en welke niet, zijn we er lang mee bezig geweest. Door beter te loggen hadden we dossiers kunnen afstrepen. Het bleef een beetje chaos. Maar goed, we wisten ook niet hoelang het afhandelen van de hack zou duren.”

Fouten toegeven

“Naar klanten toe zijn we altijd transparant geweest. Als je al een tijd met elkaar samenwerkt, je fout toegeeft en samen wilt werken aan een oplossing, kun je rekenen op veel begrip. Een klant zei: voor mij is het een klein beetje vervelend, maar voor jullie, met 130 klanten, is het nog veel vervelender. We hebben dan ook geen klanten verloren door de hack. Verder hebben we de politie erbij betrokken omdat er sprake was van identiteitsfraude. Maar leg maar eens aan de eerste de beste agent uit hoe bij ons Facebook, de advertentieaccounts en e-mail samenwerken. De aangifte leverde niets op. We hebben echt geluk gehad dat onze klanten uiteindelijk niet financieel zijn gedupeerd. Facebook heeft ervoor gezorgd dat het geld teruggestort werd. Maar cyberveiligheid is duidelijk een industrie die in de kinderschoenen staat. Je staat er helemaal alleen voor.”

We hebben de hack omgezet in iets positiefs en delen onze ervaring en kennis graag met andere ondernemers

Wat heb je ervan geleerd?

“Mijn bedrijf ODIV bestaat zes jaar. Tot de hack waren we niet bezig met onze digitale veiligheid. Nadat de hack opgelost was, zijn we flink aan de slag gegaan met onze beveiliging. We hebben eerst een aantal praktische zaken geregeld. Zo hebben we een wachtwoordmanager ingesteld voor alle collega’s, met gratis accounts voor familie en vrienden zodat het belang van veilige wachtwoorden ook in de privésfeer doordringt.”

Ervaring delen

“Daarna kwam de vraag: wat is onze rol richting klanten? We willen niet dat klanten in dezelfde situatie komen als wij. De cyberveiligheid is bij mkb-ondernemingen vaak niet op orde. Ook is de informatievoorziening matig. Er is nog geen stappenplan met preventie-of escalatiebeleid. Daarom hebben wij onze bevindingen en ervaringen samengevat en vastgelegd in een whitepaper. In deze whitepaper, een rapport dat een probleem weergeeft en zorgt voor een oplossing, staan twee vragen centraal: ‘Hoe zorg je ervoor dat je niet gehackt wordt?’ en ‘Wat doe je als je wél gehackt wordt?’ Als we merken dat klanten slecht omgaan met wachtwoorden of data doorsturen op een onveilige manier, dan gaan we met ze in gesprek. We kijken nu of we binnenkort kunnen starten met ontbijtsessies of lunch&learn-sessies. De insteek hiervan is: dit is wat ons is overkomen, hier moeten jullie rekening mee houden en dit kunnen jullie eraan doen. We willen zoveel mogelijk bedrijven bewust maken van digitale veiligheid en een stappenplan bieden voor noodsituaties. Wat ons is overkomen, hopen we niet meer mee te maken. We hebben het omgezet in iets positiefs en delen onze ervaring en kennis graag met andere ondernemers. Digitale veiligheid is een belangrijk onderdeel van ons bedrijf geworden.”

Tips van Joost Fromberg

• Koppel je privémailadressen los van je zakelijke accounts.
• Wees voorbereid op een mogelijke hack en maak een stappenplan.
• Denk niet dat het jou niet overkomt: het gaat niet om hoe groot je bedrijf is maar hoe makkelijk je te hacken bent.

Welke zaken moet je goed beveiligen? Aan de slag met cybersecurity.