Hoogovenrenovatiebedrijf scherpt back-upplan aan na ransomware
In de haven van Velsen-IJmuiden, op een steenworp afstand van Tata Steel, staat het pand van Pirson Refractories. Het bedrijf is specialist op het gebied van "refractories": vuurvaste bekleding van installaties in de olie-, staal- en petrochemische industrie. Oftewel, de renovatie van hoogovens. Dat doen ze in heel Europa. In de afstemming over projecten wisselt het bedrijf grote bestanden uit via filesharingdienst WeTransfer, zoals bouwtekeningen.
Ontgrendelingssleutel
En daarbij ging het op een zekere dag mis, vertelt Arnoud Peerdeman, managing director van Pirson Refractories. 'Het was ergens in februari geloof ik, dat wij onze server niet meer konden benaderen. Op het scherm verscheen een tekst dat onze bestanden waren versleuteld. Er werd verwezen naar een e-mailadres waar wij losgeld aan moesten betalen om weer toegang te krijgen. We konden één bestand gratis laten ontgrendelen, zodat we konden zien dat deze hackers daadwerkelijk de ontgrendelingssleutel in handen hadden. Dat hebben wij niet gedaan. We hebben niet gereageerd.'
Back-upplan
Dat besluit was snel genomen bij Pirson Refractories: 'Het was niet nodig. We hebben een goed back-up plan. Elke nacht maakt onze server automatisch een back-up en slaat deze extern op. We hebben deze back-up redelijk snel kunnen terugplaatsen. Er is daardoor niet heel veel werk verloren gaan.'
Geen controle op downloads
De ransomware is waarschijnlijk op de server gekomen doordat een medewerker een mail van een bekende afzender opende, met daarin een link naar een WeTransfer-download. Arnoud: ‘In deze map bevonden zich naast correcte documenten vermoedelijk ook ransomware. Onze beveiliging controleert niet de inhoud van WeTransfer-bestanden. De ransomware trof uiteindelijk twee pc’s.‘
Aangifte
Peerdeman heeft na afloop aangifte gedaan van deze cyberaanval. 'Dat vond ik heel belangrijk. Je hebt toch te maken met criminaliteit. Het aangifteproces is goed verlopen; ik werd uitgenodigd op het politiekantoor om het te doorlopen. Maar ik ga er niet van uit dat we onze data nog terugkrijgen.'
Nieuw cyberbeleid
Toch heeft het voorval nieuwe inzichten opgeleverd, vertelt Arnoud. Het IT-beleid binnen Pirson Refractories – waar ongeveer 10 mensen werken – is op verschillende aspecten aangescherpt. Zo kunnen werknemers nu niet meer zelf programma's op de laptops en telefoons van het werk installeren. Daarnaast moeten medewerkers om de drie à vier maanden hun wachtwoorden veranderen. Daarnaast worden alle vaste pc’s maandelijks gescand op ransomware en virussen.
Backup-plan aangescherpt
Maar het belangrijkste is dat het back-upplan verbeterd is. 'Voorheen konden we tot 7 dagen terug een back-up herstellen. Daar hebben we nu een nieuw back-upmoment aan toegevoegd. Daardoor kunnen we voortaan ook een kwartaal terug. Stel dat die back-up van 7 dagen vervuild is, dan hebben we in ieder geval nog een werkend herstelpunt. Dus om te voorkomen dat we helemaal niks hebben, kunnen we altijd drie maanden terug. Dat is met name voor onze boekhouding belangrijk.'
Betere controle
Arnoud is niet bang voor een eventuele nieuwe hackpoging. Hij gaat er vanuit dat zijn bedrijf goed is voorbereid. Mede dankzij de hulp van een externe IT-leverancier, die alles goed in de gaten houdt en regelmatig de systemen test. Arnoud: 'Ik geloof sowieso niet dat je kunt voorkomen dat je aangevallen wordt. Wel kun je zorgen dat je je IT-zaken zo goed mogelijk geregeld hebt. Dat is de sleutel.' De medewerkers mogen gebruik blijven maken van WeTransfer voor het delen van grote bestanden. Al zullen ze in het vervolg wel de binnengekomen bestanden beter moeten controleren.
Ik geloof niet dat je een aanval kunt voorkomen. Wel kun je zorgen dat je je IT-zaken zo goed mogelijk geregeld hebt.
Lessen van Arnoud Peerdeman:
De schrik zat er wel even in bij Pirson Refractories, maar gelukkig kon het bedrijf weer snel aan de slag. Een aantal tips van Arnoud Peerdeman:
- Zorg voor een goed back-upplan. En pas deze aan als dat nodig blijkt. Pirson Refractories bewaarde eerst alleen back-ups van de laatste 7 dagen, maar inmiddels kunnen ze ook een kwartaal terug.
- Beveilig je bedrijfsnetwerk. Sta het je werknemers niet toe om zelf programma’s op werkapparatuur zoals laptops en telefoons te installeren.
- Ga voorzichtig om met filesharing diensten (zoals WeTransfer), controleer binnengekomen bestanden op ransomware en virussen.
- Doe altijd aangifte van een hackpoging of cyberincident.
Wat te doen bij een ransomware-aanval?
Lees wat je moet doen als je slachtoffer bent geworden van ransomware.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Volgens Bert de Kroon van Vallei Auto Groep moeten auto-ondernemers goed met elkaar samenwerken tegen cyberincidenten. Hij ziet helaas dat veel ondernemers te weinig maatregelen treffen.
Rico Nieuwenhuijze werd slachtoffer van cybercriminelen. De NAS-opslag werd gehackt en Rico betaalde een losgeldbedrag. Helaas kreeg hij niet de toegang tot zijn bestanden terug.
Het is vrijdagavond als directeur Henny de Haas een verontrustend telefoontje krijgt: "We zijn gehackt." Een ransomware-aanval trof techniekbedrijf Hoppenbrouwers. “Het grijpt me nog steeds aan.”
Starten met cybersecurity
Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.