Voedingsmiddelenbedrijf Royal Smilde betrapt hackers op heterdaad
Het is 13 februari 2022 - vroeg in de nacht van zaterdag op zondag – als bij ICT-manager Richard Elsinga van Royal Smilde de telefoon gaat. Het is een van zijn IT-leveranciers aan de andere kant van de lijn. Die ziet dat er verdachte activiteit op een van de servers gaande is. Misschien een ransomware-aanval?
Richard belt onmiddellijk met zijn collega’s. Gelukkig is iedereen bereikbaar, ondanks het tijdstip. "Jongens, ik hoor dat er misschien een ransomware-aanval aan de gang is. Kunnen jullie dit checken?"
Tien minuten later krijgt Richard bevestiging: foute boel.
Bakmixen en sauzen
Grote kans dat je weleens iets van Royal Smilde hebt gegeten. Het Nederlandse bedrijf maakt maar liefst 1.800 verschillende producten zoals bakmixen, taarten, margarine en sauzen. Het hoofdkantoor staat in Heerenveen; de fabrieken zijn verspreid over het hele land. In 2022 haalde het bedrijf nog een omzet van 220 miljoen euro met klanten in 60 landen. En dus zijn de belangen groot.
Het Cyber Incident Response Plan treedt die nacht onmiddellijk in werking. De servers worden uitgeschakeld en ontkoppeld, de directie wordt ingelicht en een crisisteam ingericht. Daarin zitten onder meer directieleden, finance managers, operations managers, alsook Richard zelf. Via een Whatsapp-groep blijft iedereen vanaf dat moment op de hoogte en worden beslissingen genomen.
Richard licht die nacht gelijk een cybersecuritybedrijf in dat met een Computer Emergency Response Team (CERT) 24 uur per dag paraat staat. Ze starten direct een onderzoek.
Off-site back-ups
Ondertussen beginnen Richard en zijn team met het terugplaatsen van back-ups. Er is geen tijd te verliezen, want de fabriek in Edam moet zondagmiddag weer open. Deze zogenoemde off-site back-ups worden elke nacht gemaakt en staan op een andere fysieke locatie. In nauw overleg met het IT-beveiligingsbedrijf wordt bekeken welke bestanden wel en niet veilig zijn om terug te plaatsen.
Op zondag wordt de bron van de aanval vastgesteld. Hackers hebben via phishing het wachtwoord van een medewerker buitgemaakt en zo toegang kunnen krijgen tot een server. Het lukte de hackers om een admin-account aan te maken en vervolgens installeerden ze ransomware op de servers. Tijdens die activiteiten zijn ze betrapt. Daarom is slechts een deel van de bestanden geïnfecteerd.
Betaalinstructies
De hackers plaatsen in de mappen van de versleutelde bestanden een link naar een internetpagina met betaalinstructies. Daarnaast sturen ze e-mails naar de directie van Royal Smilde. De boodschap: "Betalen jullie niet? Dan publiceren we jullie data." Het crisisteam besluit in samenspraak met leden van de Raad van Commissarissen niet in gesprek te gaan met de cybercriminelen.
Richard: "Wij hadden onze prioriteit ergens anders liggen. We hebben zondagmorgen gelijk aangifte gedaan van een datalek bij de Autoriteit Persoonsgegevens en hebben alle medewerkers ingelicht over de cyberaanval." Communicatie is belangrijk, zegt Richard: "We zijn vanaf het begin naar iedereen open geweest en hebben iedereen gevraagd niet te reageren op mails van de hackers."
Zondagmiddag worden de bestanden weer teruggeplaatst op de servers en kunnen de systemen weer ingeschakeld worden. Richard: "Er heeft uiteindelijk één fabriek wat langer stilgestaan, omdat het op afstand herstellen van de back-up te lang duurde. Uiteindelijk zijn we daar gewoon zelf met een harde schijf naartoe gereden."
Aangifte
Al met al heeft Royal Smilde op vlotte wijze de schade weten te beperken. Feit blijft dat er data gestolen is. Daar heeft het bedrijf dan ook aangifte van gedaan bij de politie. Richard: "Dat vonden we belangrijk, want onze data is waardevol. Kijk bijvoorbeeld alleen al naar alle persoonlijke gegevens van onze werknemers. En dan nog eens alle interessante informatie over onze business."
Heterdaad
Hoe kon Royal Smilde zo adequaat reageren? Dat is deels te danken aan een oplettende IT-leverancier, vertelt Richard: "We hebben de daders daardoor op heterdaad kunnen betrappen. "Oer ‘t mat", zoals we in Friesland zeggen. We konden gelijk de systemen uitschakelen. Als we dat niet hadden gedaan waren we veel meer data kwijt geweest en had het veel langer geduurd om de systemen te herstellen. Dan hadden de fabrieken niet op maandag open gekund."
Responsplan
Daarnaast was het cruciaal dat Royal Smilde een responsplan had. En deze had geoefend, waardoor ze wisten welke stappen ze moeten doorlopen en wie er in het crisisteam zou komen. Richard: "Deze manier van werken heeft ons zeker geholpen om hoofd- en bijzaken van elkaar te onderscheiden en de juiste handelingen op de juiste momenten te verrichten. Zoals wanneer je welke aangifte doet."
In de week na de hack worden de regels rondom het gebruik van de computerwerkplekken strenger. Alle medewerkers worden verzocht om hun wachtwoorden te vervangen. Daarnaast haalt Royal Smilde de plannen om tweefactorauthenticatie (2FA) in te voeren naar voren. Ook aan leveranciers en andere derde partijen worden hogere eisen gesteld. Richard: "Zo zijn we bijvoorbeeld strenger geworden op externe toegang. Als je geen MFA of 2FA aanzet, kom je er bij ons niet op."
Richard hoopt dat andere ondernemers wat leren van dit verhaal. En voorbereidingen treffen. "Bij veel bedrijven heeft cyberveiligheid helaas geen prioriteit. En dat snap ik deels. Cyber voegt nou eenmaal geen waarde toe aan je bedrijf. Onze satésalades worden er ook niet lekkerder door. Maar je moet echt nadenken over de schade die het je kan opleveren als je niet goed voorbereid bent."
We hebben de daders daardoor op heterdaad kunnen betrappen. “Oer ‘t mat”, zoals we in Friesland zeggen. We konden gelijk de systemen uitschakelen.
Tips van Richard Elsinga:
- Zorg voor een goede (off-site) back-up. En vergeet deze niet regelmatig te testen!
- Zorg dat je weet wat je moet doen als je te maken krijgt met een cyberaanval of -incident. Maak een Incident Response Plan en oefen de processen.
- Zorg ook dat je een CERT-dienstverlener hebt en dat je weet met wie je kunt schakelen.
- Zorg dat je beheersmaatregelen op orde zijn. Denk aan: MFA, pentests en phishingtests.
Heb jij de cybersubsidie al aangevraagd?
Schakel de hulp in van een IT-dienstverlener en zorg ervoor dat je bedrijf goed voorbereid is. Via Mijn Cyberweerbare Zaak kun je nu tijdelijk tot 50% subsidie ontvangen voor het laten instellen en testen van back-ups, MFA en andere cybermaatregelen.
Is jouw beveiliging op orde?
Zorg dat je cybercriminelen voor bent. Laat regelmatig de beveiliging van je onderneming testen.
Ondernemend Nederland vertelt
Het Digital Trust Center streeft naar een digitaal veilig ondernemend Nederland. Dit doen wij door kennis en informatie te bieden waar ondernemers zelf mee aan de slag kunnen. Net zo belangrijk zijn verhalen van ondernemers uit de praktijk. Wat kun jij leren van ondernemers die met een cyberaanval te maken hebben gehad?
Kees Flipsen van BF Systemen ontving vele waarschuwingen van de DTC-notificatiedienst vanwege een kwetsbaarheid in de LDAP-service. Hij was blij over de meldingen, maar waarom zoveel e-mails?
Cybercriminelen maken geen onderscheid. Dat ondervond de Stichting Samenwerkende Hulporganisaties (SHO) - beter bekend als Giro555 - vlak na de start van hun inzamelingsactie voor de mensen in Oekraïne.
Toen een medewerker van Pirson Refractories enkele bestanden downloadde, ging het mis. De bestanden op twee pc's waren versleuteld. Gelukkig kon er al snel een back-up teruggeplaatst worden.
Starten met cybersecurity
Heb je nog geen kennis en ervaring? Pak het dan praktisch en gefaseerd aan met de CyberVeilig Check voor zzp en mkb. Weet binnen 5 minuten wat je vandaag te doen staat om je bedrijf beter te beschermen tegen cyberaanvallen. Download je eigen actielijst en ga vandaag nog aan de slag met onze praktische instructies en tips.