Hoppenbrouwers Techniek ziet cyber­aanval als uitdaging

De cyberaanval werd ontdekt toen een medewerker op 2 juli 2021 rond half zeven ‘s avonds de helpdesk belde. Hij kwam niet meer in zijn laptop. Al snel bleek dat de helpdesk zelf ook problemen had. “Toen was de conclusie: we zijn waarschijnlijk gehackt”, vertelt Henny de Haas. Hoppenbrouwers Techniek was slachtoffer van een wereldwijde cyberaanval. “De malware is binnengekomen via een update van onze Kaseya-software, waarmee we eindpunten en systemen kunnen beheren op afstand. Iedereen die deze software gebruikt en de update had geïnstalleerd werd erdoor geraakt.”

Een raampje vinden

En dat terwijl De Haas dacht dat hij zich goed had beschermd tegen cyberaanvallen. “We waren al een jaar of vier verzekerd tegen schade door hackers. Onze beveiliging was gecertificeerd, we gebruiken dubbele beveiliging bij inloggen en onze computers worden goed in de gaten gehouden. Wanneer ze bij ons komen werken moeten nieuwe medewerkers een examen afleggen over alle veiligheidsregels rond wifi, wachtwoorden, enzovoort. Dus het besef onder de medewerkers is vrij hoog. Maar die hackers hoeven maar ergens een raampje te vinden en ze zijn binnen.”

Alles kon besmet zijn

Na de melding op vrijdagavond nam de ICT-afdeling contact op met een gespecialiseerd beveiligingsbedrijf. “Zij zijn begonnen met onderzoeken en een plan van aanpak te maken voor het komende weekend.” De Haas begreep al snel dat het niet alleen om de servers ging. “Van de laptops tot de beveiliging van de gebouwen zelf, alles kon besmet zijn. Naast de ICT-afdeling hebben heel veel andere medewerkers ICT-kennis, dus hebben we teams gemaakt die allemaal met een deel van de systemen aan de slag gingen. Iedereen die dacht dat die iets kon bijdragen, mocht meedenken.”

Webinars voor personeel

Op zaterdag was in elke Hoppenbrouwers-vestiging een team van medewerkers bezig met computers nakijken, bouw- en installatieprojecten nalopen, monteurs bellen. “Zaterdagmiddag hadden we tachtig procent van de problemen al opgelost. Zaterdagavond konden we een back-up terugzetten en werd de server langzaam maar zeker opgeschoond. Zondagavond kon ik weer inloggen en op maandag konden we weer aan de slag.” Tussendoor werden het personeel en de buitenwereld op de hoogte gehouden. “Met behulp van de afdeling communicatie heb ik twee webinars gehouden, waarin ik alle stappen die we namen voor het personeel heb uitgelegd. Op een speciale website konden medewerkers constant updates lezen. En ik heb nog vijf radiozenders en een aantal tv-zenders te woord gestaan.”

Vraag om losgeld

Na het weekend werd het werk weer opgepakt. “We hebben nog wat klanten gebeld, omdat enkele facturen uit ons systeem waren verdwenen, maar afgezien daarvan viel de schade erg mee. De ICT-afdeling en de beveiligingsspecialisten zijn wel nog ruim een week bezig geweest om de laatste dingen na te lopen en op te schonen.” En ja, dan was er natuurlijk nog de vraag om losgeld. “Dit was een wereldwijde aanval op meer dan duizend bedrijven en de hackers eisten zeventig miljoen aan losgeld. Hadden we met een collectezakje moeten rondgaan? We zijn er niet op ingegaan en hebben niet betaald. We waren al druk genoeg met het dichten van de gaten.”

Noodplan oefenen

Terugkijkend is De Haas verbaasd over hoe zijn bedrijf zo snel tot actie overging. “We hadden geen plan vooraf wat we zouden doen in zo'n geval. Maar ik had ook niet van tevoren kunnen bedenken dat we tijdens dat weekend zo snel een goed werkende aanpak zouden ontwikkelen. Achteraf denk ik dat we een noodplan hadden moeten hebben en dat ook hadden moeten testen. Dat doet niemand, maar eigenlijk is dat gek. Je doet toch ook brandoefeningen?”

Verbinding binnen het bedrijf

Op de vraag wat De Haas hiervan heeft geleerd, komt een verrassend antwoord: “Het klinkt misschien gek, maar ik had het niet willen missen. Dit gun je niemand, maar ik heb er veel van geleerd. Binnen ons bedrijf werken we in zelfsturende teams en ligt de verantwoordelijkheid laag in de organisatie, dus medewerkers zijn gewend om mee te denken. Door al die mensen in een crisis bij elkaar te brengen, organiseer je zoveel denkkracht, dan komt de oplossing vanzelf. Ik vond de verbinding die in het bedrijf ontstond heel ontroerend.” Daarnaast is het besef van digitaal gevaar nog scherper geworden dan vroeger. “Want de kans dat we nog eens worden gehackt, is net zo groot als dat ieder ander wordt geraakt. Natuurlijk houden we de systemen nog beter in de gaten, hebben we software die vreemde activiteiten op het netwerk opmerkt en hebben we eigen cyberspecialisten. Maar als hackers echt op zoek gaan, vinden ze altijd wel een zwak punt. Alleen, net als bij inbrekers, degene met het beste slot lopen ze misschien voorbij.”

Cyberaanval als uitdaging

De tegenslag heeft De Haas in elk geval niet afgeschrokken. Het bedrijf heeft een ambitieuze toekomstvisie voor 2030 en die wordt volgens plan uitgevoerd, zegt De Haas. “We denken onze omzet te verdrievoudigen en het aantal vestigingen te verdubbelen. Tegen die tijd hebben we vijfduizend medewerkers in dienst, zijn we honderd procent CO2-neutraal ingericht en gaan we voor een perfecte klantbeleving. Die cyberaanval zie ik als een uitdaging en ik voel me erdoor gesterkt.”