'Wie losgeld betaalt, wordt opnieuw doelwit'

Op vrijdag 13 februari, rond middernacht, merkt het IT-team van Trilux iets ‘ongewoons’ op. In het weekend is in het verlichtingsarmatuurbedrijf met de hoofdzetel in het Duitse Arnsberg weinig activiteit. Trilux is internationaal actief in meer dan 50 landen, van Dubai tot België. Het bedrijf heeft onder andere een vestiging in Mechelen. Er loopt ’s nachts dus wel eens een bestelling binnen, logistieke data gaan heen en weer - Trilux ontwerpt en produceert verlichting voor bedrijven, openbare instellingen, architecten en de groothandel - maar de productiesites liggen op vrijdagavond stil. In principe wordt in het weekend trouwens niet gewerkt. We zijn ten slotte in Duitsland.

Maar de plotse eigenaardige activiteit in het dataverkeer doet de informatici met nachtdienst de wenkbrauwen fronsen. Als ze de bron niet kunnen traceren, volgt het besef snel: er is een cyberaanval aan de gang, en geen kleine. Ze nemen een radicale beslissing. Ze leggen het netwerk plat en ontkoppelen de servers.

Joachim Geiger is directeur marketing en sales van Trilux (omzet: 656 miljoen euro, winstcijfer niet bekend). Hij heeft op zaterdagochtend net zijn loopschoenen aangetrokken als hij van CFO Johannes Huxol een onrustwekkend telefoontje krijgt: ‘Alle systemen liggen plat, we zitten met een uitzonderlijke situatie.' Een crisisteam - IT’ers, consultants, het topmanagement en de woordvoerster - komt in het hoofdkantoor bij elkaar. Het bedrijf licht in de 13 landen waar het een zetel heeft de politie in. Terwijl de uren verstrijken, wordt duidelijk dat de heropstart geen simpele opdracht wordt. Toch beslist de bedrijfstop vrij snel: we gaan niet betalen. Geiger: ‘De auto wil niet meer starten? Dan kopen we een nieuwe auto.’

Vandaag, negen maanden na de aanval, wil hij het verhaal vertellen. Omdat Trilux wil laten zien wat gebeurt als je niet betaalt. ‘Vandaag kunnen we zeggen dat we hier sterker zijn uitgekomen, al kampen we nog altijd met de gevolgen. Een kleiner bedrijf, een zonder een strak plan of strakke strategie, kan hieraan ten onder gaan.’

Losgeld

Belgische bedrijven betaalden vorig jaar honderd miljoen euro losgeld aan cybercriminelen, schreef deze krant vorige week op basis van een verslag van de Kamercommissie Economie over internetfraude. Het digitaal gijzelen van bedrijven is een bloeiende business van hyperflexibele en goed georganiseerde criminelen. Het is lastig een volledig beeld van de omvang te krijgen. Veel bedrijven stappen niet naar de politie. Die die dat wel doen, krijgen soms tussen de regels door het advies over het losgeld te onderhandelen, om de zaken te laten vooruitgaan. Ook Trilux kreeg verraste reacties van de politie en de autoriteiten toen het snel en ferm besliste niet te betalen. ‘Ze zeiden: ben je zeker dat je de moeilijke weg wil opgaan?’

‘Betalen is nochtans de uitzondering’, zegt Tom Van de Wiele, beveiligingsexpert bij F-Secure, een Finse cybersecurityfirma die trends in cybercriminaliteit op de voet volgt. Hij valt op vraag van bedrijven hun IT-infrastructuur aan, om poreuze plaatsen en zwakke schakels op te sporen. ‘Zodra je nog maar overweegt om met criminelen te onderhandelen, ben je als bedrijf de controle verloren. Maar door te betalen schep je een zeer slecht precedent. Zo’n betaling gebeurt in virtuele bitcoin, die digitale portefeuilles zijn niet anoniem. Criminelen houden die portefeuilles in het oog en zien dat er betaald is. Dat lokt copycats. Een bedrijf dat losgeld heeft betaald, wordt vroeg of laat opnieuw doelwit.’

Toch is het dat wat bedrijven doen als ze tegen de muur staan. Bij de bakkerstoeleverancier Ranson werden vorig jaar enkele tienduizenden euro’s gevraagd, waar na de onderhandeling iets van afging. De universiteit Maastricht betaalde 197.000 euro na een digitale gijzeling. Bij de weefgetouwenfabrikant Picanol en de luchtvaartdienstverlener Asco werd losgeld gevraagd, maar niet betaald. De geëiste bedragen variëren van honderden euro’s voor kmo’s tot miljoenen voor de grootste bedrijven ter wereld, zoals de grote scheepsrederijen, die stuk voor stuk zijn aangevallen. Bij het Deense Maersk hingen in 2017 containers dagenlang letterlijk te bungelen in de lucht, goed voor 300 miljoen dollar schade.

‘Elke bedrijf met een computer is een potentieel doelwit’, zegt Van de Wiele. ‘De mate waarin ze bereid zijn te betalen hangt af van de ernst en de omvang van de aanval. Als er geen back-ups zijn en vitale delen van de productie op slot zitten, wordt vaak tot betaling overgegaan. Ik sta versteld van het gebrek aan urgentie bij bedrijven over cyberveiligheid, zelfs bij de hele grote. Hackers weten meestal zeer goed wat zo’n gijzeling waard is.’

Coveware, een Amerikaanse firma die helpt bij het betalen van losgeld en het recupereren van vergrendelde data, stelt dat in de eerste vier maanden van dit jaar gemiddeld 111.605 dollar (ruim 94.000 euro) losgeld werd betaald, een bedrag dat de afgelopen jaren fors is toegenomen. De grootste bedrijven, die miljoenenclaims krijgen, trekken het gemiddelde op. Het mediaanbedrag is 41.179 dollar (bijna 35.000 euro) en blijft vrij stabiel.

'Log niet in!'

Het management van Trilux zegt dat het geen idee heeft welke bedrag de hackers wilden vragen. In het bedrijf circuleren geruchten dat het om ‘miljoenen’ ging. ‘We hebben elke vorm van communicatie met de hackers onmogelijk gemaakt door de netwerken af te sluiten’, zegt Geiger.

In het hoofdkwartier van Trilux heeft een crisisteam in februari een weekend lang geprobeerd op eigen kracht de systemen aan de praat te krijgen. De productiesites in Arnsberg, Keulen en in het Spaanse Zaragoza, waar in totaal 15.000 lichtarmaturen per dag worden geproduceerd, draaien op de technische data die op 250 servers staan, net als de systemen voor managementrapportage en het operationele platform dat klanten gebruiken voor bestellingen, track and trace en projectopvolging. Maar ook het interne communicatiesysteem en adresboek, elke presentatie, spreadsheet en ontwerp dat is gemaakt, het wifinetwerk waren onbruikbaar.

Op maandag deelden medewerkers flyers uit aan de ingang van het hoofdkantoor: 'Zet je computer niet aan! Log niet in!' Projectplanners, managers, verkopers en designers gingen aan het werk met de telefoon, WhatsApp en privémail, met brochures en pen en papier. De assemblage werd in de namiddag wel opgestart, veel werk moest plots manueel gebeuren. Trilux maakt zowel maatwerk op bestelling als grote volumes standaardmodellen. Het productieproces is sterk geautomatiseerd. ‘We werkten de eerste weken op 20 procent van de gebruikelijke efficiëntie.’

Trilux heeft een nagenoeg volledig nieuwe IT-infrastructuur gebouwd. Over de kosten wil het bedrijf niets kwijt. ‘Als we zeggen: het heeft ons zoveel miljoen gekost, brengen we hackers op ideeën. Ik kan wel zeggen dat we het opnieuw zouden doen. In de eerste plaats omdat we criminelen niet willen sponsoren, maar ook omdat we denken dat ze terugkomen als je betaalt. Het is duurder, maar het is veiliger.’ Cruciaal in het lange traject is de neuzen in dezelfde richting krijgen en houden, zegt Geiger.  ‘De 5.000 mensen in dit bedrijf moeten dezelfde discipline aan de dag leggen. Eén geïnfecteerde USB-stick, één persoon die inlogt op het besmette netwerk, één oude Powerpoint-presentatie die wordt gedownload en je bent mogelijk weer bij af.’

Honderden computers van over de hele wereld werden ingezameld en gedesinfecteerd, data werden ‘gewassen’ en via de cloud teruggezet. De operatie nam maanden in beslag. ‘Vandaag zitten we als bedrijf in zijn geheel op een efficiëntie van pakweg 98 procent, er is dus nog altijd verlies.’

Ondanks de forse investering kan het bedrijf niet garanderen dat het niet opnieuw gebeurt, zegt Geiger. ‘Onze IT-infrastructuur stond op punt. We zijn een professioneel, sterk geautomatiseerd en digitaal bedrijf. Ik zou zelfs durven te beweren dat we nu betere systemen hebben, andere systemen. Ik ben er wel zeker van dat als het nog eens gebeurt we er beter en sneller in zullen slagen delen van het systeem te beschermen en herop te starten. Maar 100 procent veilig? Dat ben je nooit.’