Loonbedrijf Van Diepen werd gehackt: 'Kan echt iedereen overkomen!'

Wie cybercriminaliteit nog niet serieus nam, zal dat na het zien van bovenstaande video wel doen. Presentator Jaap Jongbloed brengt samen met Vodafone Business expert Brandon Vogel de feiten haarscherp in beeld. Ze laten zien hoe het met de risico’s zit, maar ook met de schade en de ontwrichting van de processen bij bedrijven waar criminelen hebben toegeslagen.

Zoals gewoonlijk kwam Jack van Diepen op een vroege juli-ochtend in 2020 als eerste aan bij zijn gelijknamige loon- en kraanverhuurbedrijf dat hij samen met zijn broer bestiert. Maar deze ochtend verliep bepaald niet als alle andere. Dat begon al met de aanmelding bij de deur en de automatische toegangspoort, die diensten weigerden. Al snel belden de medewerkers die de gewasbeschermingsmiddelen over het land uitrijden dat het data-gestuurde sporensysteem niet werkte. Eenmaal toch binnen gekomen dook Van Diepen in zijn bestanden. ,,Gelukkig stonden ze er allemaal nog, maar met de aparte vermelding: ‘één crypt’. Toen heb ik toch meteen maar de ICT-man gebeld en uitgelegd wat er aan de hand was. Hij zei: 'onmiddellijk stoppen, alles uitzetten! Trek zoveel mogelijk stekkers uit de muur, en we komen eraan.’"

Niet betalen aan de misdaad

Loonbedrijf Van Diepen bleek gehackt. Alle bestanden waren ontmanteld. Niets werkte meer. Wat precies de oorzaak was, is nooit helemaal duidelijk geworden, maar waarschijnlijk zat er een gat in de beveiliging van de server, of in de beveiliging van de verbinding naar de server, zo vertelt Van Diepen. ,,Er waren vijf pogingen gedaan vanuit IP-adressen in Wit-Rusland en Oekraïne. Bij de vijfde poging hebben ze een worm kunnen loslaten die zich door alle bestanden heeft heen kunnen vreten. Men eiste 3500 euro losgeld, te betalen in bitcoins. Ik ben daar niet op ingegaan. Het was en is voor mij klip en klaar: wij gaan nooit betalen aan de misdaad. Bovendien is de misdaad een onbetrouwbare partij; je moet maar afwachten in hoeverre je na losgeldbetaling echt je bestanden terugkrijgt.”

Hack brengt 15.000 euro aan herstelkosten

Ondertussen werkte de IT-leverancier koortachtig aan het herstel van de bestanden. De eerste drie dagen werd er letterlijk dag en nacht doorgewerkt, waarna het systeem voor 70 procent functioneel was en er weer op het land gewerkt kon worden. Van Diepen over de totale externe IT-herstelkosten: ,,Er zijn vijftien mandagen besteed à 120 euro per uur, met als resultaat dat uiteindelijk 85 tot 90 procent van de bestanden hersteld is. Dat komt neer op ongeveer 15.000 euro aan herstelkosten. Verder moesten we dus accepteren dat we een klein deel van de bestanden definitief kwijt waren. Nou ja, daar leer je dan mee leven.”

Intensieve communicatie naar klanten

Maar er is natuurlijk ook immateriële schade, die moeilijker in geld is uit te drukken. Ten eerste ruis op de lijn in de relaties met klanten. Van Diepen: ,,Wij hebben vooral die eerste vier weken na de hack ontzettend veel moeten communiceren naar onze klanten. Daar zitten ook klanten tussen die weinig van IT af weten en die je goed moet uitleggen wat de gevolgen zijn van een hack voor het werk dat wij bij hen op het land uitvoeren.

Daarnaast trekt zo’n hack een grote wissel op de psychische belasting van het management en de medewerkers. Van Diepen zucht als hij eraan terug denkt: ,,Die eerste vier weken beheerste de hack mijn hele leven. Alle grip ben je in één keer kwijt, dat is heel heftig om mee te maken, en het leidde aanvankelijk tot onzekerheid en de angst dat het wéér zou gebeuren.”

Van Diepen investeerde fors in professionalisering van de digitale beveiliging, om de kans op herhaling te minimaliseren. De ondernemer somt een aantal verbeteringen op: ,,Inloggen in de cloud doen we alleen nog via twee-factor authenticatie: iedereen gaat via een pincode die naar de mobiel wordt gestuurd het internet op. Daarnaast hebben we de oude virusscanner vervangen door een duurdere, betere virusscanner die elke ochtend alle bedrijfsbestanden op virussen controleert. Ook worden wij nu maandelijks op kantoor bezocht door een IT-security consultant. Hij voert alle programma-updates uit en geeft in een maandelijks verslag advies over nieuw aan te schaffen bestanden en andere security-verbeteringen.”

Hervonden gevoel van veiligheid

Al deze maatregelen hebben ervoor gezorgd dat Jack van Diepen zijn rust en vertrouwen grotendeels heeft hervonden. ,,Honderd procent beveiliging is onmogelijk. Vroeger bezocht ik wel eens van die informatiebijeenkomsten over IT-security en dacht ik dat het bij mijn bedrijf zo’n vaart niet zou lopen. Wat moesten ze bij ons nou zoeken? Inmiddels weet ik wel beter. Als ondernemer heb ik door dit heftige incident geaccepteerd dat digitale beveiliging er in deze tijd bij hoort, en dat dat dus geld kost. Wij hebben nu een veel beter digitaal hek om al onze systemen, waar ik mij een stuk veiliger bij voel.”