Hoe een hack een Brabantse plantenkwekerij bijna stillegde

3,4 hectare, ofwel zo'n 6 tot 7 voetbalvelden telt de locatie van Kwekerij de Groot in het Noord-Brabantse dorp Prinsenbeek. Hier worden jaarlijks zo'n drie miljoen potplanten geproduceerd: lepelplanten, goudpalmen en nestvarens. De kwekerij wordt geleid door oprichters Arthur en Corné Houtepen en werkt grotendeels geautomatiseerd. Alles draait op een centraal systeem dat precies bijhoudt wat er wanneer moet gebeuren. Maar op een dag komt zijn bedrijf in gevaar.

"Die ochtend was mijn computer ineens zeer traag", vertelt Corné. "Niet vooruit te branden." Wat begon als een trage pc, bleek al snel het begin van een digitale nachtmerrie. Corné rebootte zijn computer - iets wat waarschijnlijk veel mensen zou doen. Maar daarna werkte de helft van de programma's niet meer. Excel-bestanden openden niet, programma's startten niet op.

Versleutelde bestanden

Toen hij verder keek in de mappenstructuur, zag hij tekstbestanden die hij niet herkende. "Ik klikte erop, en toen stond daar dat al mijn bestanden versleuteld waren. En dat ik een sleutel kon kopen als ik contact opnam." Het was ransomware - gijzelsoftware die alle belangrijke data op slot zet, tenzij je losgeld betaalt. Tot op de dag van vandaag weet Corné niet hoe ze zijn binnengekomen.

"Wij dachten altijd: wat moeten internetcriminelen nou bij een plantenkwekerij? Er valt hier toch niks te halen?" Maar dat bleek een denkfout. "Een internetcrimineel is een opportunist en kijkt niet naar de branche, maar naar kansen." Corné's bedrijf was digitaal kwetsbaar, zo bleek. "We maakten wel back-ups, maar die stonden op een harde schijf die aan de server hing. Dus die was óók besmet."

Failliete softwareleverancier

De directe schade was niet zozeer de versleutelde bestanden. Het echte gevaar zat dieper. De volledige besturing van de kwekerij draait op één centraal systeem. Van het keuren van de stekjes tot het verplaatsen, sorteren en klaarmaken van de plantjes voor uitlevering. Dat programma werkte nog, maar alle configuratiebestanden waren versleuteld. Corné: "Zolang het programma draaide, was er niks aan de hand. Maar als de stroom uit zou vallen of we opnieuw moesten opstarten, dan kon ik het hele systeem niet meer op gang krijgen."

Tot overmaat van ramp was het bedrijf dat het besturingssysteem had gebouwd een paar jaar eerder failliet gegaan. Ooit had Corné de kans gekregen om de bronbestanden van het systeem over te nemen, maar dat had hij toen niet gedaan. Nu moest hij ze alsnog kopen - via de curator - en dat was duur. "Maar we hadden niet zoveel keus. Pas dit jaar zijn we bezig met een nieuw pakket."

Tijdbom

"Het voelde alsof ik op een tijdbom zat." Want hoewel alles nog nét draaide, wist Corné dat één incident - een stroomstoring, een kapotte server - genoeg zou zijn om alle geautomatiseerde processen stil te leggen: geen sorteersysteem, geen uitlevering, geen overzicht meer. In een bedrijf waar dagelijks tienduizenden planten verwerkt worden, is dat een ramp. "We kunnen het technisch gezien met de hand doen, maar dat is mission impossible."

Corné schakelde direct hulp in van zijn IT-bedrijf en nam contact op met zijn verzekering. Maar een cyberverzekering had hij niet. "Ze konden niks voor me doen." Gelukkig had hij kort daarvoor zijn mail en boekhouding naar de cloud verplaatst. "Dat was mijn redding. Daardoor had ik belangrijke informatie nog en was ik dezelfde dag met alles weer up en running. Maar tot we de bronbestanden van het besturingssysteem hadden, bleef het spannend."

De plantenteler deed ook aangifte bij de politie. "Ik voelde me bestolen. Ik wist niet waar het ging eindigen, dus ik had twee redenen om aangifte te doen. Ten eerste: het is gewoon een economisch delict. Dat moet je melden, vind ik. En ten tweede hoopte ik dat de politie misschien meer informatie zou hebben. Dat was er helaas niet. Maar ik vond het belangrijk om een signaal af te geven. Ik was niet erg gecharmeerd van de actie van deze criminelen, op z'n zachtst gezegd."

Beter voorbereid op een hack

Sinds die hack zijn er veel maatregelen genomen. Back-ups worden nu op meerdere plekken opgeslagen, inclusief back-ups van de software zelf. Er zijn betere virusscanners, andere routers en de stroomback-up wordt ieder jaar getest en van nieuwe accu's voorzien. "Je moet niet alleen voorkomen dat het gebeurt, je moet ook zorgen dat je ertegen kunt als het tóch gebeurt."

Corné deelt zijn ervaring graag met andere ondernemers. Hij sprak er al over tijdens een workshop van Cyberweerbaarheidscentrum Greenport en in een magazine van een verzekeraar. "Nederland is groot geworden in de tuinbouw doordat mensen kennis delen. Dat geldt voor alles, ook voor cybersecurity. Die houding is ons met de paplepel ingegeven, samen zijn we sterk."

Zijn advies aan andere ondernemers is duidelijk: "Betaal nooit losgeld. Laat je niet chanteren. En zorg dat je voorbereid bent - niet alleen op een hack, maar ook op wat je daarna moet doen." Corné heeft zijn les duur betaald, maar staat er nu sterker voor. "Ik ben nog steeds pissig op die criminelen. Maar als ik anderen hiermee kan waarschuwen, is het toch ergens goed voor geweest."