Nieuws Cybersecurity

Loonbedrijf Van Diepen werd gehackt: 'Ik dacht dat het bij mijn bedrijf niet zo'n vaart zou lopen'

Loonbedrijf Van Diepen uit het West-Friese Spanbroek werd getroffen door een cyberaanval. Mede-eigenaar Jack van Diepen vertelt over de hack, het hersteltraject, de schade, de doorgevoerde security-verbeteringen en de geleerde lessen.

i.s.m. V-Hub 2 september 2021

Jack van Diepen: "Vroeger bezocht ik wel eens van die informatiebijeenkomsten over IT-security, en dacht ik dat het bij mijn bedrijf zo’n vaart niet zou lopen. Wat moesten ze bij ons nou zoeken?" Foto: V-Hub.

Zoals gewoonlijk kwam Jack van Diepen op een vroege juli-ochtend in 2020 als eerste aan bij zijn gelijknamige loon- en kraanverhuurbedrijf, dat hij samen met zijn broer bestiert. Maar deze ochtend verliep bepaald niet als alle andere. Dat begon al met de aanmelding bij de deur en de automatische toegangspoort, die diensten weigerden. Al snel belden de medewerkers die de gewasbeschermingsmiddelen over het land uitrijden dat het data-gestuurde sporensysteem niet werkte. Eenmaal toch binnen gekomen dook Van Diepen in zijn bestanden. ,,Gelukkig stonden ze er allemaal nog, maar met de aparte vermelding: ‘één crypt’. Toen heb ik toch meteen maar de ICT-man gebeld en uitgelegd wat er aan de hand was. Hij zei: 'onmiddellijk stoppen, alles uitzetten! Trek zoveel mogelijk stekkers uit de muur, en we komen eraan.’"

"Er waren vijf pogingen gedaan vanuit IP-adressen in Wit-Rusland en Oekraïne. Bij de vijfde poging hebben ze een worm kunnen loslaten die zich door alle bestanden heeft heen kunnen vreten"

Niet betalen aan de misdaad

Loonbedrijf Van Diepen bleek gehackt. Alle bestanden waren ontmanteld. Niets werkte meer. Wat precies de oorzaak was, is nooit helemaal duidelijk geworden, maar waarschijnlijk zat er een gat in de beveiliging van de server, of in de beveiliging van de verbinding naar de server, zo vertelt Van Diepen. ,,Er waren vijf pogingen gedaan vanuit IP-adressen in Wit-Rusland en Oekraïne. Bij de vijfde poging hebben ze een worm kunnen loslaten die zich door alle bestanden heeft heen kunnen vreten. Men eiste 3.500 euro losgeld, te betalen in bitcoins. Ik ben daar niet op ingegaan. Het was en is voor mij klip en klaar: wij gaan nooit betalen aan de misdaad. Bovendien is de misdaad een onbetrouwbare partij; je moet maar afwachten in hoeverre je na losgeldbetaling echt je bestanden terugkrijgt.”

Enorm productiviteitsverlies

De schade was evenwel enorm, want een modern loonbedrijf zoals Van Diepen, dat allerlei diensten levert aan agrarische klanten, werkt data-gedreven. Ligt de IT plat, dan ligt het werk op het veld ook grotendeels plat. Om een voorbeeld te geven: een machine die gewasbeschermingsmiddelen uitrijdt, logt in een systeem in en geeft via gps-signalen zijn positie door. De spuiten op de kopeinden worden op basis van data aangestuurd ten behoeve van een efficiënte en nauwkeurige afgifte van de gewasbeschermingsmiddelen.

Van Diepen over het productiviteitsverlies: ,,We hebben door de hack per persoon ongeveer twee dagen niet kunnen werken. We hebben dertig medewerkers in vaste dienst, en een flexibele schil van vijftien medewerkers. De hack heeft ons dus zestig dagen aan productiviteitsverlies opgeleverd, wat neerkomt op 35.000 tot 40.000 euro.”

Hack brengt 15.000 euro aan herstelkosten

Ondertussen werkte de IT-leverancier koortachtig aan het herstel van de bestanden. De eerste drie dagen werd er letterlijk dag en nacht doorgewerkt, waarna het systeem voor 70 procent functioneel was en er weer op het land gewerkt kon worden. Van Diepen over de totale externe IT-herstelkosten: ,,Er zijn vijftien mandagen besteed à 120 euro per uur, met als resultaat dat uiteindelijk 85 tot 90 procent van de bestanden hersteld is. Dat komt neer op ongeveer 15.000 euro aan herstelkosten. Verder moesten we dus accepteren dat we een klein deel van de bestanden definitief kwijt waren. Nou ja, daar leer je dan mee leven.”

Mobiele telefoons...

Wilt u meer weten over wat u nu al kunt doen om de mobiele telefoons van u en uw medewerkers te beveiligen? Kijk op Vodafone mobiele beveiliging.

Intensieve communicatie naar klanten

De directe financiële schade van de cyberaanval komt daarmee al uit op ruim een halve ton. Maar er is natuurlijk ook immateriële schade, die moeilijker in geld is uit te drukken. Ten eerste ruis op de lijn in de relaties met klanten. Van Diepen: ,,Wij hebben vooral die eerste vier weken na de hack ontzettend veel moeten communiceren naar onze klanten. Daar zitten ook klanten tussen die weinig van IT af weten, en die je goed moet uitleggen wat de gevolgen zijn van een hack voor het werk dat wij bij hen op het land uitvoeren. Boze reacties hebben we echter niet gehad. Men realiseerde zich tijdens de gesprekken dat wij als loonbedrijf ook maar een slachtoffer waren van criminelen.”

Hack brengt onzekerheid en angst met zich mee

Daarnaast trekt zo’n hack een grote wissel op de psychische belasting van het management en de medewerkers. Van Diepen zucht als hij eraan terug denkt: ,,Die eerste vier weken beheerste de hack mijn hele leven. Alle grip ben je in één keer kwijt, dat is heel heftig om mee te maken, en het leidde aanvankelijk tot onzekerheid en de angst dat het wéér zou gebeuren.”

Aanvankelijk, want Van Diepen investeerde fors in een professionalisering van de digitale beveiliging, om de kans op herhaling te minimaliseren. De ondernemer somt een aantal verbeteringen op: ,,Inloggen in de cloud doen we alleen nog via twee-factor authenticatie: iedereen gaat via een pincode die naar de mobiel wordt gestuurd het internet op. Daarnaast hebben we de oude virusscanner à 2300 euro per jaar vervangen door een duurdere, betere virusscanner à 5400 euro per jaar, die elke ochtend alle bedrijfsbestanden op virussen controleert. Ook worden wij nu maandelijks op kantoor bezocht door een IT-security consultant à 450 euro, dus dan praat je ook weer over 5400 euro op jaarbasis. Deze consultant voert alle programma-updates uit en geeft in een maandelijks verslag advies over nieuw aan te schaffen bestanden en andere security-verbeteringen.”

"Vroeger bezocht ik wel eens van die informatiebijeenkomsten over IT-security, en dacht ik dat het bij mijn bedrijf zo’n vaart niet zou lopen. Wat moesten ze bij ons nou zoeken? Inmiddels weet ik wel beter"

Hervonden gevoel van veiligheid

Al deze maatregelen en de factor tijd hebben ervoor gezorgd dat Jack van Diepen zijn rust en vertrouwen grotendeels heeft hervonden. ,,Honderd procent beveiliging is onmogelijk. Vroeger bezocht ik wel eens van die informatiebijeenkomsten over IT-security, en dacht ik dat het bij mijn bedrijf zo’n vaart niet zou lopen. Wat moesten ze bij ons nou zoeken? Inmiddels weet ik wel beter. Als ondernemer heb ik door dit heftige incident geaccepteerd dat digitale beveiliging er in deze tijd bij hoort, en dat dat dus geld kost. Wij hebben nu een veel beter digitaal hek om al onze systemen, waar ik mij een stuk veiliger bij voel.”

V-Hub

Inspiratie, ideeën en advies voor het midden- en kleinbedrijf: alles over veilig hybride werken, digitalisering en ondernemen, en ook dit artikel, lees je in V-Hub.

Schrijf je in voor de dagelijkse nieuwsbrief voor ondernemers, in 2 minuten tijd ben je weer helemaal bij.

Ontvang iedere ochtend onze nieuwsbrief en blijf op de hoogte van het laatste ondernemersnieuws