Twee keer gehackt in twee jaar tijd. Het overkwam Harko de Vlaming, eigenaar en directeur van financieel adviesbureau Adfino.C.S. Hij vertelt over het effect van de cyberaanvallen. Welke maatregelen neemt hij om een derde hack te voorkomen? “Mijn belangrijkste les: back-uppen, back-uppen, en nog eens back-uppen.”
Harko de Vlaming herinnert het zich nog goed, die middag in november 2016. “Ik zat achter mijn computer. Ineens zag ik voor mijn ogen de namen van alle bestanden veranderen. In onbegrijpelijke taal. Het duurde een minuut tot ik me realiseerde wat er gebeurde. Alsof ik in een film zat. We hebben direct onze systemen uitgezet, maar toen was het al te laat.”
Wat blijkt: een stagiair heeft per mail een zip-bestand ontvangen en geopend. Harko: “We krijgen wel vaker zip-bestanden van cliënten. Er gingen dus niet meteen alarmbellen rinkelen.”
Dat deze mail niet van een cliënt kwam, werd bevestigd toen de systemen weer aangingen. “Er kwam een melding in beeld. We moesten bepaalde software downloaden en bitcoins overmaken om onze data terug te krijgen.”
‘Gehackt worden? Zoiets overkomt mijn bedrijf niet, dacht ik.
Harko schakelt zijn zoon in, die IT-expert bij Adfino.C.S. is. “Al onze data worden opgeslagen op twee eigen servers, die in een datacentrum staan. Zo hebben we altijd een back-up als een van de twee servers ermee ophoudt. Bij een hack heb je alleen niks aan die tweede server: als de ene gehackt is, is de andere dat ook. Daarom maken we ook dagelijks back-ups op externe servers.”
Dankzij de back-ups op de externe servers kon Adfino.C.S. bijna alle data terughalen. Op het werk van die dag na. Harko: “We hoefden dus niet te betalen om onze data terug te krijgen.”
Wel kost het veel tijd om alle bestanden terug te zetten. En om uit te zoeken wat er precies was gebeurd. Was de data alleen gegijzeld? Of ook gestolen en dus in handen van vreemden?
“Waarschijnlijk het eerste”, vertelt Harko opgelucht. Het gaat toch om privacygevoelige data. “Alle informatie die nodig is voor de belastingaangifte van onze cliënten, zit in onze dossiers. Van kopieën van identiteitsbewijzen tot gegevens over inkomen, hypotheek en vermogen. Het risico op identiteitsdiefstal is groot. Je wilt dus niet dat deze informatie in handen van criminelen valt.”
Zonder dubbele back-ups had Adfino.C.S. een deel van de cliëntgegevens opnieuw moeten opvragen. Harko: “Dat je al zijn gegevens bent kwijtgeraakt, is geen verhaal waarmee je graag naar je cliënt gaat. Zeker als je niet weet wat er met de gegevens is gebeurd. Daarom hebben wij dit zo goed mogelijk uitgezocht.”
‘We kijken nu kritischer: wie moet bij welke bestanden kunnen?
De hack is aanleiding voor extra preventiemaatregelen. Zo zoeken Harko en zijn werknemers tegenwoordig eerst uit wie de afzender is van een zip-bestand of vreemde mail die binnenkomt. Harko: “Bij twijfel openen we het bestand in een speciaal beveiligde omgeving. Zo kunnen we het bestand inzien, zonder dat onze data geïnfecteerd kunnen worden.
Ook scherpt Adfino.C.S. het toegangsbeleid tot data aan. “De stagiair die het zip-bestand opende, kon bij een groot deel van de bestanden. Daardoor raakten in een keer veel data geïnfecteerd”, licht Harko toe. “Nu kijken we kritischer: welke werknemer moet op welk deel van de server kunnen?”
Ondanks de aangescherpte maatregelen, gaat het een jaar later opnieuw mis. Een stagiair logt op zijn laatste stagedag ’s avonds thuis in op de server. Daar staan nog wat privébestanden. Vermoedelijk bezoekt hij ook een website waar hij op een verkeerde link klikt. Daardoor kunnen cybercriminelen encryptiesoftware op de server van het bedrijf plaatsen.
“We zijn er nooit achter gekomen wat er precies is gebeurd, maar leerden opnieuw een belangrijke les”, vertelt Harko. “Als iemand uit dienst gaat, moeten we meteen alle toegangsgegevens intrekken. Dat is in dit geval een dag te laat gebeurd.”
Harko deed de online cyberscan van cybersecuritybedrijf Perfect Day om te checken of zijn bedrijf voldoende maatregelen neemt tegen cybercriminaliteit. “Dankzij de scan hebben we onder andere een noodplan op papier gezet. Daarin staat kort beschreven wat we moeten doen bij een hack. Daarnaast hebben we het inloggen op onze server veiliger gemaakt. Werknemers kunnen nu alleen inloggen vanaf een bekend IP-adres. Ook worden sinds de tweede hack de inloggegevens van werknemers die uit dienst gaan direct geblokkeerd.”
Dankzij de preventiemaatregelen na de eerste hack, had de stagiair toegang tot slechts een klein deel van de server. Harko: “Daardoor was de schade beperkt: er waren maar weinig bestanden geïnfecteerd. En omdat de hack ’s avonds plaatsvond, hadden we een back-up van diezelfde dag. We hebben dus geen data verloren.”
Wel is de IT-expert veel tijd kwijt aan het achterhalen van de oorzaak. Ook zit de schrik er bij Harko en zijn werknemers goed in. Harko: “Voordat we gehackt werden, dacht ik: zoiets overkomt mij niet. Die naïviteit ben ik nu helemaal kwijt.”
Harko gebruikt zijn eigen ervaringen om zijn cliënten te waarschuwen. Harko: “Datadiefstal kan iedereen overkomen. Het gaat erom wat je ervan leert. En wat je doet om de kans op cybercriminaliteit te verkleinen.”
De belangrijkste les die Harko leerde dankzij de hacks? “Back-uppen, back-uppen, en nog eens back-uppen. Dagelijks, wekelijks en maandelijks. En je werknemers én stagiairs goed instrueren. Als het gaat om hacks, blijven mensen een zwakke schakel.”
Meer weten over hoe je je onderneming beschermt tegen cyberaanvallen? Lees de tips van cyberexpert Dave Maasland. Of bekijk de video waarin ondernemer Jack vertelt hoe hij zijn bedrijf beschermt nadat hij in 2019 werd gehackt.
Benieuwd hoe je een ransomware-aanval voorkomt, beperkt of herstelt? Bekijk de factsheet van het Nationaal Cyber Security Centrum.