Zo werd IJskoud slachtoffer van hack bij datacenter

"Eerst dacht ik dat het wel meeviel, dat het een gewoon computerprobleem was", vertelt José Komin, directeur van IJskoud. Maar toen ze de volgende dag de vijf A4’tjes correspondentie tussen de hackers en hun hostingpartij zag, realiseerde ze zich hoe serieus het was. En in wat voor nachtmerrie ze was beland.

José: "Ik besefte: we zijn gehackt. En niet zo’n beetje ook. We dachten dat onze ICT goed beveiligd was en dat onze servers veilig waren in de cloud bij onze hostingpartij. Maar dat bleek niet het geval." Alle ICT-systemen van IJskoud en die van andere klanten bij diezelfde hostingpartij zaten op slot. De eis? 1 miljoen dollar in bitcoin, te betalen door de slachtoffers gezamenlijk.

IJskoud is een bedrijf uit Amsterdam dat koeltechnische installaties installeert, onderhoudt en repareert. José: "Simpel gezegd maken we dingen koud." Dit varieert van horecabier tot aan koelingen voor probiotica, coronavaccins en CO2-silo’s voor blusgasinstallaties. Daarnaast koelt het bedrijf ook installaties bij worstenmakerijen, kantoorpanden, het openbaar vervoer en ziekenhuizen, inclusief operatiekamers en MRI-installaties.

Een andere storing dan normaal

In de vroege ochtend van vrijdag 14 juni 2024 meldden 2 technici dat de apps op hun tablets, die ze gebruiken voor hun digitale werkbonnen, niet meer werkten. ICT-beheerder Matthijs Moison was die dag vrij, maar deed vanuit huis toch een aantal checks om te kijken wat er aan de hand was. José: "Het gebeurt wel vaker dat iets tijdelijk niet werkt, zoals een server die offline is of een verbindingsprobleem bij de provider. Maar nu leek het anders. De servers waren wel bereikbaar, maar werkten niet als normaal. Ook meldde ons monitoringsysteem dat er 's nachts iets vreemds was gebeurd."

Volgens de externe hostingpartij waren de servers in het datacenter gehackt. José: "Deze servers worden door onze hostingpartij beheerd. Het ging niet alleen om ons, maar ook om andere klanten van de hostingpartij. Uit onderzoek bleek dat de LockBit 3.0 groep achter de hack zit. Alle servers, back-ups en data waren versleuteld met ransomware."

Het hostingbedrijf van IJskoud laat desgevraagd weten dat er in totaal 24 klanten getroffen zijn door de aanval. Bij 10 bedrijven zou de data zijn versleuteld. Nog geen 5% van het totaal aantal klanten, volgens de woordvoerder. IJskoud zou het grootste slachtoffer zijn geweest, mede vanwege de grote hoeveelheid maatwerk op hun servers.

Leunen op het geheugen van werknemers

José: "De aanval heeft een grote impact gehad op de business. Simpel gezegd konden we niets meer, behalve bellen en mailen. Het ERP-systeem werkte niet, waardoor we geen idee meer hadden welke projecten, storingen en onderhoudswerkzaamheden er liepen bij klanten." IJskoud beheert ongeveer 10.000 installaties in onderhoud, wat een enorme belasting betekende voor het team.

Ook de fieldservice-software, voor de planning en digitale werkbonnen, deed het niet meer. Dit betekende dat alle planningen voor de komende maanden, evenals recent afgeronde projecten verdwenen waren. "Ter indicatie, we hebben het dan over een paar duizend orders. We hebben een beroep moeten doen op het geheugen van onze technici om de planning voor de komende periode te herinneren zodat we in ieder geval de klanten konden helpen met koeltechnische storingen.”

De fileservers en databases waren niet meer toegankelijk en ook het klantenportaal, dat gebruikt wordt om de status van installaties te delen met klanten en inspecties, lag plat. Volgens het hostingbedrijf was een van de problemen bij IJskoud dat alle data, waaronder backups, op fileservers stond, en niet in de cloud. Om dataverlies te beperken in de toekomst gaat het bedrijf er strenger op toezien dat alle data in de cloud staat.

Forensisch onderzoek en noodprocedures

Direct na de hack schakelde IJskoud een cybersecuritybedrijf in voor forensisch onderzoek. "Het was al snel duidelijk dat dit geen kwestie van uren, maar dagen of zelfs weken zou zijn. We hebben dezelfde dag nog onze noodprocedures opgestart en een teammeeting gehouden om alle medewerkers bij te praten. Ook hebben we klanten en leveranciers geïnformeerd en melding gemaakt van het datalek bij de politie en de Autoriteit persoonsgegevens."

Herstel na 12 dagen

Na 12 dagen waren het ERP-systeem en de fieldservice-software weer in de lucht. José: "Vanaf dat moment konden we weer facturen maken, inkoopfacturen verwerken en offertes maken. We konden ook weer aan de slag met project- en serviceorders. Maar niet alles werkte meteen."

De emotionele, financiële en zakelijke impact was enorm. José: "De krachten die spelen tijdens zo’n proces zijn onvoorstelbaar. Gelukkig konden we de kosten voor het forensisch onderzoek delen met andere bedrijven, anders hadden we failliet kunnen gaan.”

Samenwerking met hostingpartij

José blikt positief terug op de samenwerking met de hostingpartij: "Ondanks dat we geen concrete afspraken hadden over dit soort incidenten, verliep het contact goed. We werden goed op de hoogte gehouden. Het hostingbedrijf heeft daarnaast zo snel mogelijk een nieuwe omgeving opgezet om alle systemen weer te kunnen installeren."

IJskoud had geen concrete afspraken over de dienstverlening rondom incidenten gemaakt. "Uiteraard staat er wel wat over vermeld in de Service Level Agreement (SLA). Achteraf gezien zouden we de SLA veel kritischer bekijken.”

José en haar team hebben cyberveiligheid nog hoger op de agenda gezet. "We waren ons al bewust van de gevaren van cybercriminaliteit. Daarom doen we regelmatig phishing-simulaties om het gedrag van medewerkers te testen. Ook werken we op kantoor met een wachtwoordmanager, hebben we een wachtwoordbeleid (moeilijkheidsverplichting en periodieke vernieuwing) en werken we zoveel mogelijk met 2FA. Wel gaan we hier nog meer op toezien en het gebruik van de wachtwoordmanager zelfs verplicht stellen. Ook gaan we meer gebruik maken van IP- en apparaatgebonden toegangscontrole."

Tips voor andere ondernemers

Tips aan andere ondernemers heeft José volop. "Zorg dat je een goede procedure hebt klaarliggen voor als je gehackt bent of systemen niet werken. Dat helpt met het opstarten voor de tijd dat je offline bent." Daarnaast beveelt ze ondernemers aan periodiek een pentest te laten uitvoeren om de beveiliging te beoordelen. José: "Zorg verder dat je precies weet welke systemen je hebt, waar alles draait en dat je back-ups op orde zijn. Laat een onafhankelijke partij meekijken met de inrichting van je systemen, niet alleen je eigen leverancier. Vertrouwen is goed, maar controle is beter."

Blijvende impact

De hack heeft tot op de dag van vandaag een blijvende impact op IJskoud. "De eerste dagen waren druk en intens. Van ’s ochtends vroeg tot ’s avonds laat was er contact tussen de directie en systeembeheerder Matthijs om zo snel mogelijk de noodprocedures op te starten en een plan te maken. Dit kostte niet alleen tijd, maar ook geld. Enerzijds omdat we minder efficiënt konden werken bij onze klanten. Anderzijds omdat de collega’s op kantoor veel meer tijd moesten besteden aan het verwerken van alle orders."

Daarnaast zijn er veel kosten gemaakt om alle systemen weer werkend te krijgen. IJskoud heeft diverse bedrijven en consultants ingeschakeld om programma’s en systemen opnieuw te installeren. José: "Matthijs is tot op de dag van vandaag nog steeds heel veel uur per week kwijt aan het opnieuw opzetten van bepaalde zaken. Hij verdient een standbeeld voor zijn onvoorwaardelijke inzet, geduld en 24/7 beschikbaarheid. Maar ook de rest van het team stelt zich fantastisch wendbaar en flexibel op."

Tot slot is José dankbaar voor de steun van klanten, leveranciers en andere relaties. "We hebben hartverwarmende reacties ontvangen. Iedereen heeft aangegeven ons op elke mogelijke manier te blijven steunen."