Hack VDL is wake-up-call maakindustrie

De cyberaanval op VDL begin oktober moet een wake-up-call voor de maakindustrie zijn. Alle 105 bedrijven van VDL lagen plat, maar ook toeleveranciers en klanten hadden er last van. Een op de vijf mkb-bedrijven heeft nu jaarlijks te maken met een cyberincident. Wat te doen tegen hackers? Begin met een check.

“Zoals bekend is VDL Groep geraakt door een cyberaanval. Uit veiligheidsoverwegingen hebben we direct na de aanval al onze systemen ontkoppeld en van de buitenwereld geïsoleerd, mede om de aanval te beteugelen en om klanten, leveranciers, andere partners en medewerkers te beschermen.

In het belang van het onderzoek naar deze cyberaanval kunnen wij op dit moment verder geen mededelingen doen. Wij vragen om uw begrip. Alle ondersteunende reacties en aangeboden hulp uit binnen- en buitenland zijn hartverwarmend, hartelijk dank daarvoor.”

Deze melding staat op de webpagina van de VDL Groep. De Eindhovense grootmacht uit de maakindustrie krabbelt op na een cyberaanval die begin oktober plaatsvond. Het volledige concern lag wereldwijd plat: 105 bedrijven, verspreid over 19 landen en met ruim 15.000 medewerkers. De servers gingen uit, mail was onmogelijk. 

Weerbaarheid

De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) schrijft in het Cyber Security Beeld Nederland (CSBN) 2021 dat de weerbaarheid nog niet op orde is, en dat geldt dus ook voor ondernemers. Eenvoudige maatregelen worden soms niet of te laat getroffen. Denk hierbij bijvoorbeeld aan het (tijdig) updaten van hard- en software. Onder andere de Citrix- en Exchange-kwetsbaarheden (in 2019, respectievelijk 2020) laten zien dat lang niet iedereen op de hoogte is of tijdig de noodzakelijk maatregelen treft.

Ten tweede constateert de NCTV dat er nog steeds een groot kennisverschil is tussen organisaties, als het om cybersecurity en digitale weerbaarheid gaat. Het mkb wordt hierbij specifiek genoemd. Binnen het mkb is er een groot verschil aan kennis, maar er ontstaan ook verschillen tussen grote bedrijven en hun partners (vaak mkb-bedrijven). Dit leidt tot problemen omdat bedrijven of organisaties in een keten zitten, waarbij een incident bij één bedrijf impact heeft bij een ander.

Specifieke cybercrime zoals DDoS-aanvallen, ransomware en phishing en het gebruikmaken van zogenaamde leveranciersketenaanvallen (ofwel stepping stone-aanvallen) tonen een stijgende lijn. Dit zijn volgens de NCTV de belangrijkste manieren waarop kwaadwillenden bedrijven en organisaties proberen te raken. Deze aanvallen leiden enerzijds tot het niet beschikbaar zijn van systemen, en anderzijds steeds vaker tot het lekken van vertrouwelijke (persoons)gegevens.

Ver-van-m’n-bed

“Wat gebeurd is bij VDL is een bevestiging van een trend die al een tijdje geleden is ingezet”, zegt Liesbeth Holterman. Ze is cybersecurity-expert maakindustrie bij Novel-T. Dat een grotere onderneming aan de beurt is, is voor haar dan ook geen verrassing. Voor de mensen in de maakindustrie wellicht wel. Immers, een grote cybersecurity-case als de inbraak bij de Universiteit van Maastricht (ransomware kostte 200.000 euro) is nog een beetje ‘ver-van-m’n-bed’. Een hack bij de Mandemakers Groep (een ransomware-aanval waardoor een groot deel van de operationele systemen van het keuken-, sanitair-, en meubelbedrijf werd geblokkeerd), komt al dichterbij. Holterman: “Je hoort vaker dat men zich achter de oren begint te krabben en denkt: ik moet hier toch wat mee. Want dit kan iedereen blijkbaar overkomen.” 

Wat het voor de maakindustrie extra relevant maakt, is de ketenintegratie. Onderdelen van VDL hebben stil gelegen en sommige onderdelen zullen niet aan hun leveringsverlichtingen kunnen voldoen. Dat is voor de fabriek in Born misschien niet zo heel erg, want daar maken ze een eindproduct. Maar er zullen ook bedrijfstakken zijn die onderdelen leveren in de toeleveringsketen, en niet alleen aan VDL-dochters. 

VDL, maar ook de hele keten, zal moeten kijken wat er meer en beter kan. “Deze hack zet de keten op scherp. En hoewel de aanleiding vervelend is, hoop ik dat het uiteindelijk positieve gevolgen zal hebben. In ieder geval dat de bedrijven in een keten meer met elkaar gaan praten over cybersecurity”, zegt Holterman.

Een mogelijke implicatie is dat het in de keten een eis wordt dat de cyberveiligheid goed op orde is. Dat zou zelfs een reden kunnen zijn om een samenwerking niet door te laten gaan. Holterman: “Je ziet dat ASML daar wat denkrichting betreft al vrij ver in is. Ze maken nu ook onderscheid tussen leveranciers die belangrijk zijn en leveranciers die essentieel zijn. Hoe essentiëler een toeleverancier is, hoe meer eisen ASML gaat stellen. Dat begint met een goede risicoanalyse in je toeleveringsketen. Als het gaat om een leverancier van schroeven of moeren, hoef je minder hoog op de ladder van de IT-keten te staan. Een bedrijf als ASML denkt na: wat zijn de kroonjuwelen? En ook onder leveranciers van ASML beoordelen ze of er een essentiële afhankelijkheid is.”

Losgeld

Een op de vijf mkb-bedrijven heeft nu te maken met een cyberincident per jaar. En dat geldt voor een kwart van de grotere ondernemingen. Let wel: een cyberincident kan ook betekenen dat de Facebook-pagina uit de lucht is. Desondanks is de schade groot en neemt het risico toe. In 2015 heeft de Amerikaanse FBI berekend dat cybercriminaliteit een omzet heeft van 3,5 biljoen dollar. De verwachting is dat dat in 2025 opgelopen is tot 10 biljoen dollar. Ter verduidelijking: een biljoen is een miljoen keer een miljoen. 

Wat te doen tegen hackers? Begin met een check. Zo krijg je een overzicht van wat er al is en wat de risico’s zijn, weet Holterman. “En beschouw wat je kunt doen. In Almelo en Hengelo draaien de fabrieken van VDL door. Dus in ieder geval niet heel VDL lag plat. Blijkbaar heeft VDL de IT gecompartimenteerd. Een verstandige zet: scheid de kantoorautomatisering van je productieomgeving.”

Is losgeld betalen een goed idee? “Ik snap heel goed dat individuele bedrijven losgeld betalen. Maar realiseer je dat cybercriminelen ook investeren in innovaties, met dat losgeld. Dus door te betalen, maken we het onszelf nog moeilijker. Je kunt beter vooraf betalen voor goede ict.” Cybercriminelen kiezen ook voor de makkelijkste weg. Het gros van de hacks heeft plaats omdat essentiële updates niet zijn uitgevoerd. Een inbreker kiest ook het huis met het slechtste slot uit. En blijf opletten. Als er rare dingen op je netwerk gebeuren, moet je alert zijn. Weet wel dat het gemiddeld 190 dagen duurt voordat een organisatie doorheeft dat iemand aan haar data zit. “Zo’n inbreker heeft er dus al 190 dagen de tijd voor gehad om de reguliere back-up te stoppen en zo een bedrijf nog harder te raken. En onderschat het belang van tweefactorautenticatie niet. Men vindt het te veel gedoe en het is niet populair. Maar wel een hele belangrijke tip.”