Born to be wild. Deze slogan was lange tijd te lezen als je over de A2 langs de fabriek van VDL Nedcar reed. Hij stond op de zijkant van een verhoging waarop een Mini stond die leek op te stijgen. De leus was een aardige woordgrap: de autofabriek staat in de Limburgse plaats Born.
Woensdagnacht werden ze helemaal wild in Born, maar dan niet omdat het
zoveelste leuke autootje van de band rolde of zo. Nee, moederbedrijf VDL Groep
werd het slachtoffer van een cyberaanval, die onder andere de Nedcar-fabriek
volledig platlegde – als in: er rolt daar nu even geen enkele auto meer van de
band. Ook de rest van de 105 bedrijven van het concern, verdeeld over negentien
landen, is “in meer of mindere mate” door de aanval getroffen, zegt het
bedrijf.
Het lijkt erop dat het concern door een ransomware-aanval is getroffen,
al houdt het bedrijf de kaken nog stijf op elkaar over de aard van de
cyberaanval. Er is daar heel wat te halen: de concernomzet bedroeg vorig jaar
bijna 4,7 miljard euro. Cybercriminelen, die ook steeds verder
professionaliseren, hebben geleerd dat aan grote bedrijven meer kan worden
verdiend dan aan particulieren.
Tegenwoordig gaat het bij ransomware vaak niet meer alleen om het
versleutelen van bestanden. Bij een besmetting worden ook gegevens gestolen, en
dan bestaat de eis van de criminelen uit twee delen: betaal om je gegevens te
kunnen ontsleutelen én om ons de buitgemaakte gegevens niet te laten publiceren.
Dat laatste ligt – zeker bij een technologiebedrijf – gevoelig. VDL doet veel
meer dan alleen auto’s en bussen. Zo zijn ze ook een belangrijke toeleverancier
voor ASML, dat wereldwijd de markt leidt voor machines die computerchips maken.
Bij deze aanval zijn niet alleen de bedrijfsgeheimen van VDL in het geding,
maar mogelijk ook die van hun klanten. Om erger te voorkomen heeft VDL alle
onlinesystemen uitgezet. Lassers kunnen nog wel werken, maar zo’n beetje
iedereen, die afhankelijk is van informatiesystemen, zit thuis.
Bij de vele nieuwsbronnen die ik over dit voorval geraadpleegd heb, valt
één zin in De Telegraaf op: “Doordat veel processen verregaand zijn
geautomatiseerd en gedigitaliseerd, raakt de aanval ook de productie.” Dat
impliceert dat er geen scheiding is aangebracht tussen IT en OT, waarbij IT de
informatietechnologie voor kantoormensen is en OT fabrieksmensen bedient (operational technology). Zo’n
scheiding is van cruciaal belang bij installaties die rampen kunnen
veroorzaken; denk daarbij aan chemiefabrieken, waterkeringen en luchtvaart. Je
moet er toch niet aan denken dat een terrorist door middel van een
phishing-mail aan een KLM-medewerker uiteindelijk toegang krijgt tot de systemen
aan boord van een vliegtuig. Ook ‘gewone’ industriële bedrijven doen er goed
aan om IT en OT van elkaar gescheiden te houden, zo laat de VDL-hack maar weer
eens zien.
Maar dan moet de bedrijfsleiding de problematiek wel begrijpen én
gepaste maatregelen willen treffen (lees: bereid zijn om substantieel in
beveiliging te investeren). Op Twitter schreef iemand: “Ik heb daar een aantal
jaren geleden voor een paar maanden rondgelopen. De ICT'ers zijn goede mensen
maar vanuit VDL werd iedere cent omgekeerd. Er was nergens geld voor. Het was
roeien met de riemen die ze hadden.” Ik kan dat bericht niet verifiëren, maar
VDL zou niet het enige bedrijf zijn waar dat zo werkt. Journalist Huib
Modderkolk beschrijft in zijn boek Het is
oorlog maar niemand die het ziet hoe het op dat punt eraan toeging bij de
APM-terminals in de Rotterdamse haven, die in 2017 werden getroffen door een
ransomware-aanval die begon bij moederbedrijf Maersk in Oekraïne en van daaruit
de hele wereld over ging: APM had totaal geen oog voor digitale beveiliging.
Software werd niet ge-updatet, er waren virusscanners noch firewalls in gebruik
op kritische systemen en verbindingen. Waarschuwingen van
beveiligingsdeskundigen werden in de wind geslagen.
Vorig jaar was VDL ook al het doelwit van een hackaanval, schrijft NRC,
maar die kon worden afgeweerd. Je zou verwachten dat zo’n gebeurtenis het
management wel wakker schudt. Of dat nodig was en ook is gebeurd, weet ik niet.
Maar ik kan ook niet uitsluiten dat men dacht: de aanval is afgeweerd, dus we
zijn hartstikke veilig; geen verdere actie nodig. Voor mensen, die zo denken,
haal ik maar weer eens een oud gezegde van stal: beveiliging is geen product,
maar een proces.
De hit Born to be wild van Steppenwolf uit 1969 bevat de volgende regels:
“Fire all of your guns at once/And explode into space”. Dat
eerste lijkt inmiddels bij VDL te zijn gebeurd. Hopelijk blijft het tweede ze
daar in Born bespaard.
En in de grote boze buitenwereld …
- zijn cyberaanvallen in Nederland aan de orde van de dag.
- staat daar een forse toename van het aantal cybersecuritybedrijven tegenover.
- wil de Tweede Kamer actie tegen ransomware.
- gaan we misschien wel de krijgsmacht inzetten bij een ransomware-aanval.
- waarschuwde Google duizenden gebruikers dat ze doelwit waren van Russische phishing.
- meldde ook Microsoft dat veel cyberaanvallen uit Rusland komen.
- is in de VS wetgeving in de maak die bedrijven verplicht om losgeldbetalingen te melden.
- gaat Google automatisch tweefactorauthenticatie aanzetten.
- hadden hackers vijf jaar lang toegang tot een bedrijf dat wereldwijd sms-berichten routeert.
- vragen kaartverkopers soms meer gegevens dan nodig en wenselijk is.
- heeft de AIVD een cybersecurity-aanpak gepubliceerd.
- kun je de presentaties van de ONE Conference terugkijken.
Geen opmerkingen:
Een reactie posten