interview

'Herstellen van cyberaanval is als marathon lopen'

Norsk Hydro moest na de cyberaanval wekenlang met manuele procedures werken. ©rv

Picanol komt vrijdag met een update over de cyberaanval die het bedrijf al de hele week lamlegt. Het bedrijf mag niet denken dat het het ergste gehad heeft, waarschuwt Jo De Vliegher. Hij maakte vorig jaar als IT-directeur een gelijkaardige aanval mee op de Noorse multinational Norsk Hydro.

Het was maar een vrij summier bericht op de website van De Tijd, maar een existentiële crisis voor de Noorse aluminiumreus Norsk Hydro. Dat bedrijf werd op 19 maart vorig jaar getroffen door een aanval met ransomware, het type gijzelsoftware dat vorige zomer ook het Zaventemse Asco en deze week het Ieperse Picanol volledig plat legde. De Vlaming Jo De Vliegher, sinds zeven jaar informaticadirecteur (CIO) bij de Noorse industriereus, maakte het vanop de eerste rij mee.

Hoe is die dag van de aanval verlopen?

Jo De Vliegher. ©rv

Jo De Vliegher: ‘De eerste symptomen kwamen uit onze vestiging in de VS, waar de gebruikersbestanden van een duizendtal pc’s in één keer geblokkeerd werden. Ons IT-team heeft toen meteen een noodprocedure in gang gezet en alle netwerken manueel platgelegd, om te vermijden dat de aanval zich verder zou verspreiden. Daarna hebben ze mij uit mijn bed gebeld. Ik zat op dat moment in Brazilië, maar heb meteen het vliegtuig terug genomen om de hersteloperaties te leiden.’

Was er veel schade?

De Vliegher: ‘De directe schade viel wel mee. Zo’n ransomwarevirus is heel zichtbaar, maar niet alles wordt erdoor geraakt. We hadden back-ups en we hadden een antigif in de vorm van antivirussoftware, waardoor extra infecties vermeden werden. Bovendien waren alleen lokale bestanden getroffen, en niet de informatie die we in de cloud hadden bewaard. De productie werd alleen onrechtstreeks geraakt, doordat onze IT-systemen uit lagen.’

Waarom was de impact op het bedrijf dan toch zo groot?

Ons grootste probleem was dat al onze systemen gecompromitteerd waren. De aanvallers waren al weken voordien in ons netwerk geraakt en hadden de aanval ongemerkt voorbereid.
Jo De Vliegher
Informaticadirecteur Norsk Hydro

De Vliegher: ‘Ons grootste probleem was dat al onze systemen gecompromitteerd waren. De aanvallers waren al weken voordien in ons netwerk geraakt en hadden de aanval ongemerkt voorbereid. We wisten niet langs welk achterpoortje ze waren binnen geraakt, en we wisten niet wat hun motivatie was. Losgeld is de meest voor de hand liggende verklaring, maar soms wordt zo’n ransomwareaanval ook opgezet om de sporen van industriële spionage uit te wissen. We hoorden zelfs verhalen van gesofisticeerde malware die in de gaten houdt wat een bedrijf na een aanval het eerst beschermt, om op die manier de bedrijfsgeheimen op het spoor te komen. Zolang je dat allemaal niet weet, is het heel moeilijk te beslissen of je herstart of niet.’

‘Dat is de reden waarom we wekenlang met pen en papier moesten werken. Het gevolg was dat we na een week met 20.000 onbetaalde facturen zaten, waar er elke dag 6.000 bijkwamen. Duizenden werknemers kregen hun loon niet uitbetaald, en de banken weigerden uit voorzorg nog met ons te communiceren.’

‘Meeste schade door omzetverlies’

De financiële schade door de aanval op Nyrsk Hydro werd becijferd op 50 miljoen euro. Voor een multinational met een omzet van 16 miljard euro valt dat nog mee, al is het wel meer dan een tiende van de nettowinst die het concern vorig jaar boekte. ‘Het grootste deel van de factuur was puur omzetverlies. Een kleiner deel waren de rechtstreekse IT-kosten voor recovery en voor het inhuren van soms wel heel dure specialisten’, zegt De Vliegher. ‘Bovendien waren we verzekerd. De onderhandelingen lopen nog, maar we gaan een aanzienlijke schadevergoeding krijgen.’

Dat aan een cyberaanval een heel hoog prijskaartje kan hangen, weet ook het luchtvaartbedrijf Asco in Zaventem, dat vorige zomer drie weken buiten strijd was door een cyberaanval. Spirit Aerosystems, de Amerikaanse overnemer van Asco, vermeldde in zijn derdekwartaalcijfers dat de overnameprijs voor Asco met 184 miljoen dollar verlaagd werd, van 604 naar 420 miljoen dollar, mede als gevolg van die aanval. Navraag leert wel dat het 'grootste deel' van die lagere prijs te wijten is aan slechtere marktomstandigheden. Maar dan nog loopt het prijskaartje van de aanval wellicht in de tientallen miljoenen.

U hebt heel openlijk over de crisis gecommuniceerd in de media. Waarom?

De Vliegher: ‘Voor een stuk zit dat in de bedrijfscultuur. Maar we zagen ook heel snel in dat we transparant moesten zijn om de mediaoorlog te winnen. Aanvankelijk word je gezien als een slachtoffer, maar dat kan heel snel omslaan naar de rol van loser. Daarom hebben we ook journalisten toegelaten in onze war room en veel informatie met hen gedeeld. Ironisch genoeg wordt onze case nu beschreven als een ‘gouden standaard’ in communicatie, maar eigenlijk zagen we geen andere oplossing.’

Veel bedrijven kiezen ervoor alles stil te houden.

De Vliegher: ‘Dat is een gevaarlijke strategie in een periode waarin je alleen dankzij het begrip en het geduld van je stakeholders kunt standhouden. Op termijn kan dat heel duur uitvallen. Ik spraak laatst op een congres met iemand van Equifax (een Amerikaans kredietbedrijf dat kredietwaardigheidsinformatie verzamelt en dat in 2017 gehackt werd, waardoor de data van bijna 150 miljoen mensen gestolen werden, red.). Equifax heeft 700 miljoen dollar aan juridische kosten moeten betalen. Wij hebben geen enkele rechtszaak gehad.’

Wat bleek de oorzaak van de infectie bij Norsk Hydro?

De Vliegher: ‘Het was een heel gesofisticeerde en gerichte aanval. De hackers hadden eerst het mailsysteem van een van onze klanten gekraakt, en een mail die aan ons gericht was onderschept om er hun virus in te stoppen. Die mail was op geen enkele manier verdacht. Zo’n gerichte aanval kan je gewoon niet tegenhouden. Daarom voel ik me er ook niet verantwoordelijk voor. Vergelijk het met de bomaanslag in Zaventem. Achteraf kan je veel verklaren, maar uiteindelijk is het heel erg moeilijk om zoiets op voorhand te zien.’

Heeft Norsk Hydro met de hackers contact gehad?

Vergelijk het met de bomaanslag in Zaventem. Achteraf kan je veel verklaren, maar uiteindelijk is het heel erg moeilijk om zoiets op voorhand te zien.
Jo De Vliegher
Informaticadirecteur Norsk Hydro

De Vliegher: ‘Nee. We kregen zo’n typische ‘ransom note’ te zien, waarin de hackers instructies gaven om met hen contact op te nemen, maar we hebben beslist niet met hen te onderhandelen. We weten ook niet hoeveel losgeld ze van ons wilden. We hebben gesproken met bedrijven die wel hebben betaald. Daaruit bleek dat dat de problemen vaak niet oploste. Vaak is er meer schade aangericht dan de hackers zelf beseffen, en bovendien blijven je systemen gecompromitteerd.'

Heeft het gerechtelijk onderzoek iets opgeleverd?

De Vliegher: ‘De daders zijn nooit gevonden, maar de speurders hebben wel de gebruikte infrastructuur gevonden, waardoor andere aanvallen vermeden konden worden.’

Welke lessen trekt u uit wat er gebeurd is?

De Vliegher: ‘We hebben onze beveiliging verbeterd met fundamenteel nieuwe technologie, maar het komt er toch vooral op neer dat je je kritische processen maximaal moet beschermen. De digitalisering van fabrieken is prima, maar je moet zorgen dat je een paar knoppen en schakelaars hebt om in geval van nood weer op manueel werk over te schakelen. Na verloop van tijd is de allergrootste bezorgdheid dat dat nog eens zou gebeuren. Want dan ben je als bedrijf alle geloofwaardigheid kwijt. Ik lig daar nu veel meer wakker van dan vroeger, ja.’

Welk advies hebt u voor bedrijven die het slachtoffer worden van een aanval?

De Vliegher: ‘Veel bedrijven willen het met een sprintje afhandelen, maar dat lukt niet. Niet dag één of dag twee zijn het ergste, maar dag dertig. De wederopbouw na zo’n aanval is heel moeilijk, en na een tijd krijgt elke organisatie uitputtingssymptomen. Je moet dat hele herstelproces voorbereiden alsof het om een marathon gaat, en niet om een sprint.’

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud