Sinds woensdagmiddag rollen er weer auto's van de band in de autofabriek van VDL Nedcar in Born. Maar tot het concern, toeleverancier van ASML, Philips en DAF, behoren wereldwijd nog 104 bedrijven die nog altijd last hebben van de brutale digitale aanval. Acht vragen en antwoorden over gijzelsoftware.
Een week geleden werd VDL platgelegd. Wat gebeurt er nu bij het bedrijf?
Wat er aan de hand is, zegt VDL niet, maar bronnen rond het concern melden dat het centrale it-systeem is gegijzeld. Criminelen blokkeren netwerken en geven die pas vrij nadat losgeld is betaald. Na zo’n cyberaanval zal het bedrijf een crisisteam formeren onder leiding van een externe partij die de regiefunctie neemt, schetst Dave Maasland van ESET Internet Security. ,,Wat is er gebeurd? Hoe kan de schade worden hersteld? En gesprekken met de criminelen worden gevoerd. Dat doet doorgaans de externe partij.” In het crisisteam zitten naast de directie, afdelingen als communicatie, IT, de operationele bedrijfsvoering en juridische zaken schrijft het AD. ,,Klanten moeten bijvoorbeeld worden ingelicht als mogelijk klantdata zijn gestolen.”
Wat doet VDL om de getroffen IT-systemen weer aan de gang te krijgen?
De autofabriek in Born draait weer voorzichtig. Voor andere bedrijfsonderdelen die vanwege koppeling van productiesystemen aan internet niet kunnen draaien, hoopt het bedrijf zo snel mogelijk op een vergelijkbare oplossing. Grote vraag is of de criminelen ook de hand hebben weten te leggen op back-ups. ,,De laatste twee jaar zien we steeds vaker dat criminelen ook back-ups versleutelen”, zegt Job Kuijpers, oprichter van cybersecurity-organisatie Eye en voormalig medewerker van de AIVD. De aanvallers worden volgens hem steeds slimmer, de criminele groeperingen groter en professioneler. ,,Maar ook als er back-ups zijn, kan het weken duren voordat alles weer normaal functioneert.” Want een back-up terugzetten gaat niet altijd goed en soms mist nog data.
Betaalt VDL losgeld?
VDL zelf laat er niets over los. Maar volgens expert Maasland lijkt het er op dat VDL op eigen kracht probeert de systemen te herstellen, in plaats van dat losgeld is of wordt betaald om weer toegang te krijgen tot door criminelen versleutelde data. ,,Bedrijven van de omvang van VDL kunnen met waanzinnige hoge losgeldeisen worden geconfronteerd, van een half tot twee procent van de omzet. Dan heb je het over vele miljoenen euro’s. Tegelijkertijd is het ook heel complex om voor 105 bedrijven de IT-systemen opnieuw op te bouwen.”
Hoe langer het duurt dat een slachtoffer van een cyberaanval weer in de lucht is, hoe aannemelijker volgens Maasland het scenario dat geen losgeld wordt betaald. ,,Criminelen willen heel snel hun geld hebben, over het algemeen binnen 48 uur. Ze willen het geld wegsluizen, hun sporen wissen en verdwijnen.” Toch sluit hij het losgeldscenario niet uit. ,,Als je betaalt ben je ook niet meteen weer online. Het is de vraag welke data je dan terugkrijgt. En of het allemaal nog werkt. Voordat je met de halve data die je terugkrijgt weer alles hebt draaien, duurt het ook wel even. Dat scenario is net zo goed levend.”
Hoe groot is de financiële schade voor VDL?
Dat is lastig te bepalen, maar het omzetverlies valt al gauw op vele miljoenen euro’s te becijferen. VDL rekent dit jaar op een omzet van zo’n 5 miljard euro, dat is bijna 100 miljoen euro per week. De gevolgen van de cyberaanval laten zich inmiddels een week voelen, maar de impact op de 105 individuele bedrijven van de groep verschilt. Duidelijk is dat autofabriek VDL Nedcar - goed voor een jaaromzet van meer dan 2 miljard euro - een week heeft stilgelegen. Bij andere bedrijfsonderdelen - zoals de busfabrieken - is in ieder geval gedeeltelijk doorgewerkt.
Kan een verzekering de schade voor VDL dekken?
Zo’n tien verzekeraars in Nederland bieden een verzekering met ‘cyberdekking’ aan, weet het Verbond van Verzekeraars. Hoeveel bedrijven zo’n verzekering hebben, is niet bekend. Maar volgens het verbond bedroeg de premieomzet van cyberverzekeringen in Nederland in 2020 een ‘zeer bescheiden’ 25 miljoen euro. De verzekeraar vergoedt doorgaans de geleden financiële schade en herstel van schade zoals vervanging van computers, systemen en herstel van data. Of ook losgeld onder de dekking valt hangt af van de voorwaarden. Verzekeraar Hiscox bijvoorbeeld heeft in de voorwaarden opgenomen dat losgeld wordt vergoed als dat is betaald om de schade voor het bedrijf beperkt te houden.
VDL bestaat uit 105 bedrijven. Was het bedrijf daardoor extra aantrekkelijk als prooi?
VDL nam de afgelopen jaren het ene na het andere bedrijf over waarna alle systemen aan elkaar gekoppeld worden. En dat kan een risico zijn. ,,Het maakt de kans groter dat er ergens nog niet beheerde computers staan die kwetsbaar zijn”, zegt Job Kuijpers. ,,Maar die segmentatie zorgt tegelijkertijd voor natuurlijke scheiding omdat niet alles uit dezelfde systemen bestaat.”
VDL is aangevallen, maar hebben de criminelen nu ook privégegevens van 15.000 werknemers?
Die kans is inderdaad aanwezig, zeggen experts. Vaak zijn criminelen al voor het ontdekken van de gijzeling van systemen waarbij data digitaal is versleuteld tot het netwerk doorgedrongen. Persoonsgegevens zoals kopieën van identiteitsbewijzen kunnen worden verhandeld op het darkweb, zeg maar de krochten van het internet waar criminelen zich ophouden. Die data kan bijvoorbeeld worden gebruikt voor identiteitsfraude. Ook kan openbaarmaking ervan dienen als drukmiddel voor het betalen van losgeld. Als persoonsgegevens zijn gelekt, zal het bedrijf dat op basis van de privacywetgeving AGV dienen te melden.
"We moeten allemaal accepteren dat we aan het leren zijn, dat we allemaal nog een lange weg hebben te gaan als het gaat om cyberveiligheid"
Cyber-expert Dave Maasland
Criminele hackers slaan steeds vaker toe. Leren van digitale aanvallen kan echter een wapen zijn. Welke rol kan VDL daarin spelen?
Uit schaamte of angst voor reputatieschade houden door dergelijke aanvallen getroffen bedrijven de kaken op elkaar. ,,Uit angst voor imagoschade, dat je moet laten zien dat je zaken niet op orde hebt. We moeten allemaal accepteren dat we aan het leren zijn, dat we allemaal nog een lange weg hebben te gaan als het gaat om cyberveiligheid”, zegt expert Maasland. Net als deskundige Kuijpers doet hij een dringend appèl op VDL. ,,Ben transparant”, adviseert Kuijpers. ,,Als VDL nu in een losgeldsituatie zit, speel je dat spel niet via de media. Maar het bedrijf moet zich wel bewust zijn van de voorbeeldfunctie in de regio.”
In de regio rond Eindhoven zitten naast VDL spelers als ASML, Philips, DAF, Signify (voorheen Philips Licht) en chipmaker NXP. ,,Voor het mkb is ransomware het grootste probleem, zeg maar de toeleveranciers van VDL en andere bedrijven. Die kun je nu inzicht bieden.” Expert Dave Maasland: ,,Ik hoop dat VDL durft te zeggen: er zijn fouten gemaakt. Dat VDL als commercieel bedrijf het stilzwijgen doorbreekt. Geen enkel bedrijf hoeft zich te schamen. Als verdediger tegen cybercriminaliteit moet je alles goed doen, terwijl je als aanvaller maar een enkel foutje nodig hebt.”
Bron: eye.security, eset.com, deondernemer.nl | Bart-Jan van Rooij en Peter Scholtes
Bekijk alle vormen en begrippen 》
Actuele aanvallen overzicht per dag 》
Tips of verdachte activiteiten gezien? Meld het hier.
Cybercrime gerelateerde berichten
“47% van de cyberaanvallen werd veroorzaakt omdat organisaties hun patch beheer niet goed op orde hadden”
Het aantal cyberaanvallen is afgelopen jaar met 33 procent gestegen. Maar liefst 47% van de cyberaanvallen werd veroorzaakt omdat organisaties hun patch beheer niet goed op orde hadden. Phishing is over het algemeen nog steeds de meest voorkomende oorzaak van cyberaanvallen. Maar liefst 44 procent van de ransomware aanvallen konden zo succesvol worden uitgevoerd.
Neem de controle terug over je privacy zoek met DuckDuckGo!
Online anoniem blijven: het is niet makkelijk. Veel websites gebruiken je online activiteit nu eenmaal om hun producten en diensten aan je te verkopen. De meest voor de hand liggende voorbeelden zijn natuurlijk Facebook en Google, maar daarnaast zijn er talloze andere bedrijven die je online geschiedenis gebruiken om zichzelf te promoten.
Cybercriminelen werken steeds vaker samen om mkb’ers te raken
Cybercriminaliteit wordt in toenemende mate geoptimaliseerd om het lokale midden- en kleinbedrijf (mkb) te targeten. Dit blijkt uit het nieuwe BlackBerry Threat Report 2022 van BlackBerry Limited. In dit rapport worden de ontwikkelingen binnen cybercriminaliteit onder de aandacht gebracht. Het Threat Report laat daarnaast zien dat een aantal beruchte ransomware-aanvallen van vorig jaar mogelijk uitbesteed waren.
Inwoners praten elkaar bij over digitale weerbaarheid
Het slachtofferschap van online criminaliteit neemt toe, de schade groeit en de weerbaarheid blijft achter. Met het project Digitaal Veilig in de Wijk, zet Den Haag vrijwilligers in om slachtofferschap onder inwoners tegen te gaan. “Het zou fantastisch zijn als we niet alleen een netwerk hebben binnen de stad, maar ook tussen de steden.”
Cybercriminelen bestoken de wereld met cyberaanvallen vanuit Nederland
Buitenlandse hostingbedrijven helpen cybercriminelen om hun activiteiten, zoals het uitvoeren van aanvallen met gijzelsoftware, vanuit Nederland te ontplooien. Anti-spamorganisatie Spamhaus zag de afgelopen maanden tientallen criminele activiteiten op de netwerken van deze hostingbedrijven.
Nieuw waarschuwingssysteem voor cyberdreigingen van start
Nederlandse bedrijven en organisaties kunnen sinds gisteren een beroep doen op het 'Nederlands Security Meldpunt'. Dit is een nieuw waarschuwingssysteem voor cyberdreigingen dat ontwikkeld is door het bedrijfsleven. Met het meldpunt willen de initiatiefnemers de kwetsbaarheid van Nederlandse bedrijven verminderen en cybersecurity versterken.