De hack bij Hoppenbrouwers

Het is vrijdagavond rond 22.00 uur als directeur Henny de Haas een verontrustend telefoontje krijgt van Marcel, destijds de CFO en verantwoordelijk voor ICT bij Hoppenbrouwers Techniek. "We zijn gehackt."

Technisch dienstverlener Hoppenbrouwers kreeg in de zomer van 2021 te maken met een ransomware-aanval. Ze waren slachtoffer van de wereldwijde Kaseya-hack. Een softwareprogramma dat zij gebruikten om hun computers te beheren en te beveiligen, bleek geïnfecteerd met gijzelsoftware (ransomware).

“Omdat Marcel normaal gesproken alles voor ons oplost, realiseerde ik me gelijk dat het goed mis was. Diezelfde avond heb ik contact opgenomen met collega’s en hebben we cybersecuritybedrijf Northwave ingeschakeld. Vanaf de volgende ochtend stonden zij paraat”, vertelt Henny. Gelukkig had Hoppenbrouwers in 2017 een cyberverzekering afgesloten, wat nu van onschatbare waarde bleek.

Video: de impact van de hack bij Hoppenbrouwers

Aan het woord is directeur-eigenaar Henny de Haas van Hoppenbrouwers Techniek.

"Daar had ik op dat moment misschien niet zoveel last van. Ja met terugwerkende kracht raakt het me nog steeds.
Vooral dat moment, dus die crisis was gewoon goed voelbaar.
Maar ik denk, wat betekent dit eigenlijk als alles besmet is, al die computers. Dit is gewoon een klus van heb ik jou daar.

Ik ben Henny de Haas, directeur/ eigenaar van Hoppenbrouwers techniek. We zijn hier Udenhout, n van de 20 vestigingen in Nederland. In deze hal heeft het zich allemaal afgespeeld.
Marcel - IT-verantwoordelijke - belde mij rond tien uur s avonds op vrijdag en toen zei hij: We zijn gehackt.

Toen dacht ik zo in mijn achterhoofd, ok dit is niet goed.
Ik had heel snel door, ik moet eigenlijk het probleem van ICT en de rest van heel de organisatie daaromheen, die moet ik gewoon splitsen.
Dat is gewoon een klus, die is voor hun veel te groot.
Bovendien je kan er niet tegelijkertijd mee bezig zijn.

Dus op een gegeven moment kwamen we snel tot de conclusie als jullie nou, toen Northwave er ook aan te pas kwam op een gegeven moment en ja hoe lang gaat dit duren?
Toen zeiden ze dit kan zomaar een paar weken gaan duren. Toen dacht ik ook die paar weken die zitten eigenlijk in alles wat zij verspreid hebben, dus hoe kunnen wij zo snel mogelijk dat probleem oplossen.

Op zon moment is er eigenlijk maar n ding, dat is een overlevingsstand en dan denk ik dat mijn kwaliteit als crisismanager ook wel boven water kwamen, om dingen snel te kunnen zien en te schakelen en mensen mee te nemen. Juist niet in een klein comit te gaan zitten maar gewoon in de hal te zeggen: luister iedereen is gewoon welkom.
Daar ik ook nog wel eens ontroerd door worden, niet zozeer van de crisis maar het feit dat zoveel mensen zo snel iets kunnen bereiken. Dat is echt onvoorstelbaar.
Als we een week mee bezig geweest zouden zijn, ja dan kan de impact wel groter zijn. Er zitten hier in dit gebouw allemaal software-mensen. Dan zou de paniek denk ik wel iets groter geweest zijn.
Ik beschouw heel de computer, alles wat zij hebben eigenlijk als een gebouw met duizenden raampjes erin en als je niet uitkijkt staat er altijd wel ergens eentje open. Ik denk dat het gewoon goed is dat iedereen het weet en het is echt een serieus risico waarvan de meeste mensen gewoon niet in de gaten hebben hoe groot het is."


Supply-chain aanval

Hoppenbrouwers was, net als veel andere bedrijven in Nederland en in de wereld, getroffen door een ‘supply-chain’-aanval. De Russische hackersgroep REvil misbruikte een beveiligingslek in software van Kaseya, een zogenoemde VSA-agent, die veel IT-dienstverleners gebruiken. Ook bij Hoppenbrouwers was deze software geïnstalleerd, waardoor hun apparaten na een software-update geïnfecteerd en versleuteld raakten. De gijzelsoftware had zich in de loop van de middag al verspreid over alle opgestarte computers.

De hal stroomde vol met collega's

Een crisisteam werd samengesteld en de hal van het kantoor stroomde op zaterdagochtend vol met collega's. Iedereen wilde íets doen. Ze zorgden dat alle 2.000 laptops naar het hoofdkantoor gebracht werden, werkten aan scripts en er werd voor eten en drinken gezorgd voor alle medewerkers die het weekend teruggekomen waren om deze aanval te helpen afwenden.

“Samen hebben we een verborgen website gebouwd voor zowel medewerkers als klanten, omdat transparante communicatie voor ons van groot belang is. Ieder uur verspreidden we updates, via sms en de website. Dat werd als prettig ervaren. De klanten namen het ons niet kwalijk, maar als er op dat moment ergens werk opgeleverd had moeten worden of als de tekeningen of software niet op tijd af waren geweest, dan was het waarschijnlijk een ander verhaal geweest”, aldus Henny.

“Het grootste gedeelte van het werk was gewoon monnikenwerk om al die computers terug te halen en op te schonen. We zijn met veel mensen tegelijkertijd in actie gekomen. We hebben ervoor gekozen om tegelijkertijd aan de streep te komen en dat is ons toevallig gelukt”, vertelt Henny.

Dankzij de goede informatiebeveiliging, snel en doeltreffend handelen en de onvermoeibare inzet van honderden medewerkers slaagde Hoppenbrouwers erin om binnen één weekend de gevolgen van een hack onder controle te krijgen. Hierdoor waren ze op maandagochtend weer veilig online. Een prestatie die doorgaans twee tot drie weken in beslag neemt bij bedrijven van vergelijkbare omvang, met mogelijk aanzienlijke gevolgschade zoals financiële verliezen, imagoschade en een datalek van vertrouwelijke gegevens.

Nasleep

“Het grijpt me nog steeds aan. Dat klinkt misschien heel gek twee jaar later, maar daar blijf ik gewoon last van houden. Het blijft me raken.”, aldus Henny.

Henny vindt het belangrijk om er open over te communiceren, tijdens het incident maar óók naderhand. Inmiddels is er een boek uitgebracht en een podcastserie gemaakt over de hack en de ervaring van Henny en zijn collega’s, om andere ondernemers een kijkje achter de schermen te geven van dit crisisweekend.

Inmiddels heeft Hoppenbrouwers de procedures aangepast. Waar de ICT'ers voorheen toegang hadden tot het hoofdwachtwoord - wat eigenlijk betekende dat er veel mensen met een universele sleutel rondliepen - wordt nu een strikter beleid gehanteerd. Het hoofdwachtwoord wordt alleen nog verstrekt wanneer het strikt noodzakelijk is of voor specifieke taken. Daarnaast wordt nu de gehele schijf gemonitord. Er wordt een uitgebreidere beveiligingsaanpak toegepast in vergelijking met het eerder gebruikte schildbeveiligingssysteem.

Het grijpt me nog steeds aan. Dat klinkt misschien gek twee jaar later... het blijft me raken.

Tips van Henny de Haas:

  • Zorg ervoor dat je voldoende kennis hebt. Ik denk dat je op bestuursniveau niet meer zonder ICT- en cybersecuritykennis kunt. 
  • Het is belangrijk om multifactorauthenticatie te gebruiken. 
  • Discipline en uniformiteit in je systemen en in je processen. Dat voorkomt dat je iets binnenhaalt waar een virus in zit. 
  • Onderschat het niet! Ga er gewoon vanuit dat het jou ook gaat overkomen.
  • Sluit een cyberverzekering af, dat kan in ieder geval helpen om specialistische hulp te krijgen en de grootste schade af te dekken.

Hoppenbrouwers Techniek

Als technisch dienstverlener installeert en onderhoudt Hoppenbrouwers installaties voor zowel zakelijke als particuliere klanten. Ze zijn actief op het gebied van elektrotechnische en werktuigbouwkundige installaties voor bedrijfsleven, industrie, zorginstellingen, scholen en particulieren. Met een cruciale rol in de energietransitie en de wereld van digitalisering realiseert het bedrijf projecten gericht op duurzame energieopwekking, energiemanagement en optimalisatie van het energieverbruik.

Heb jij de cybersubsidie al aangevraagd?

Schakel de hulp in van een IT-dienstverlener en zorg ervoor dat je bedrijf goed voorbereid is. Via Mijn Cyberweerbare Zaak kun je nu tijdelijk tot 50% subsidie ontvangen voor cyber awareness trainingen, MFA en andere cybermaatregelen. 

Ondernemend Nederland vertelt

Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?

Gevaar op zee na hack bij maritieme dienstverlener

Ongeveer een kwart van de olieplatforms in het Nederlandse deel van de Noordzee wordt op afstand bewaakt door Royal Dirkzwager. Maar stel je voor dat de systemen uitvallen en er geen enkel signaal meer binnenkomt op de controlekamer. Dan liggen er mogelijk catastrofale gevolgen ligt op de loer.

Volvo-dealer wordt slachtoffer van ransomware-aanval

Volvo-dealer Ton van Kuyk uit Alkmaar werd begin 2023 slachtoffer van een ransomware-aanval. Financieel directeur Jack Ros legt uit waarom het bedrijf niet is ingegaan op de eis van de hackers, zo'n 300.000 dollars in Bitcoins. Gelukkig waren er back-ups om de bedrijfsprocessen weer snel op gang te krijgen.

Adviesbureau slachtoffer van zakelijke identiteitsfraude

Edwin de Ruijter ontdekte dat de goede naam van zijn bedrijf wordt misbruikt om mensen op te lichten. Oplichters gebruiken een bijna zelfde bedrijfsnaam om geld bij slachtoffers af te troggelen. Met een advertentie lokken ze mensen naar een nepwebsite voor een neplening.