Interview ACA IT | Gegijzeld: hoe ziet een hersteloperatie eruit?

Geplaatst op 03-11-2022, door Sanne Nijboer in Kennisbank

Al meer dan 15 jaar houdt Michael Waterman zich bezig met cybersecurity. Aanvankelijk bij softwarereus Microsoft, tegenwoordig bij het Eindhovense ict-bedrijf ACA IT Solutions. Als securityspecialist maakte hij vele cyberincidenten en hersteloperaties mee, zag stoere ondernemers huilen. “De impact is onvoorstelbaar groot.” Welke lessen heeft Waterman voor mkb-accountantskantoren?

Michael Waterman ACA IT Solutions

Mkb-kantoren zijn kwetsbaar voor cybercriminaliteit

Michael Waterman was negen jaar lang cybersecurity engineer bij Microsoft, reisde de hele wereld over en vergaarde veel kennis over informatiebeveiliging. Vier jaar geleden stapte hij over naar ACA IT Solutions, een Eindhovens ICT-bedrijf dat mkb-bedrijven adviseert over cybersecurity-vraagstukken. De eerste jaren in Nederland waren een behoorlijke realitycheck voor Waterman. “Ik was bij Microsoft de hoogste beveiligingsniveaus gewend. Bij mijn eerste contacten met mkb-klanten dacht ik: onder welke steen hebben jullie de afgelopen 15 jaar geleefd? Bedrijven wisten nauwelijks welke risico’s cybersecurity met zich mee brengt. De ICT-systemen zijn vaak een grote gatenkaas.”

Waterman kan het wel verklaren: “Tot 2018 bleef de mkb-sector redelijk gespaard. Cybercriminelen vielen vooral grotere organisaties aan. Maar dat veranderde toen grotere bedrijven zich steeds beter konden weren. Bovendien wordt er op het Darkweb*, de digitale onderwereld, relatief goedkope tools verkocht waarmee ook criminelen zonder ICT-kennis hun slag kunnen slaan.” Waterman spreekt liever niet van ‘hackers’. “Dat klinkt te romantisch; het zijn geen amateurs meer die op zolderkamers wat uitproberen. Het zijn criminelen die in de echte wereld een pistool op je hoofd zouden zetten.” De impact is enorm: “Ik heb stoere ondernemers zien huilen omdat ze werden afgeperst. Het incident werkte door op hun gezinnen, collega’s en klanten.”

* Het Darkweb is een deel van het internet dat niet vindbaar is voor zoekmachines. Cybercriminelen gebruiken het voor hun illegale activiteiten.

Flink aan de bak

Mkb-bedrijven kloppen inmiddels bij ACA IT Solutions aan voor een preventieve aanpak. Ook assisteerde het bedrijf al menig keer bij cyberincidenten. Waterman die als manager cybersecurity een team van specialisten aanstuurt, schetst hoe dat gaat: “Vaak begint het met een belletje midden in de nacht of in het weekend. Het calamiteitenplan wordt uit de kast gehaald: pas dan zal blijken of de procedures die vooraf zijn bedacht, ook werken. Er wordt in allerijl een crisisteam gevormd, met IT-mensen, directieleden en externe specialisten. Softwareleveranciers en verzekeringsmaatschappij(en) moeten worden gebeld. Collega’s en klanten worden geïnformeerd.”

Voordat het crisisteam aan de slag gaat, wordt meestal een digitaal forensisch bedrijf, zoals bijvoorbeeld het in Nederland gevestigde Northwave, ingeschakeld. “Hooggekwalificeerde specialisten onderzoeken hoe ernstig systemen zijn geraakt en of er informatie is gestolen. En of – onverhoopt – backups niet zijn geraakt. Dat gebeurt door analyse van log-bestanden. Het is fenomenaal wat deze forensische onderzoekers boven water krijgen”, aldus Waterman.

Als de diagnose duidelijk is, moeten techneuten flink aan de bak. Alle getroffen apparatuur en netwerken moeten worden opgeschoond. Dat is volgens Waterman een intensief proces. “Met sommige hardware ben je een paar uur bezig, maar als er veel data op staan, kan het zomaar dagen duren. Getroffen bedrijven moeten daarbij de afweging maken welke processen voor hen het belangrijkst zijn. Het is bij cyberincidenten al heel knap als je binnen een week bepaalde bedrijfsprocessen – zoals de e-mailfunctie – weer kunt starten. Of binnen twee weken het bedrijf weer kan laten draaien.”

Voorkom spookverhalen

Bij de verschillende cyberhersteloperaties die Waterman van dichtbij meemaakte, leerde hij een aantal belangrijke lessen. “De focus ligt op het zo snel mogelijk laten draaien van een organisatie. Vaak wordt vergeten welke impact het heeft op de mensen die erbij betrokken zijn. Ze maken weken van soms 16 uur per dag. Er drukt een zware verantwoordelijkheid op hun schouders. In het begin draaien medewerkers op adrenaline, maar op een gegeven moment hakt de stress er enorm in. Ik heb meegemaakt dat collega’s na de hersteloperatie thuis kwamen te zitten met een burn-out.” Voor de directie van een geraakt bedrijf is het volgens Waterman raadzaam om vanaf de zijlijn betrokken te blijven. “Je kunt niet veel doen, de techneuten moeten het werk doen. Steun ze door bijvoorbeeld koffie te halen of ze van broodjes te voorzien.”

Wat daarnaast heel belangrijk is: “Vergeet je medewerkers niet te informeren. Als je als ICT-manager of directeur in het crisisteam zit, weet je wat er speelt. Het is belangrijk relevante informatie regelmatig te delen. Bijvoorbeeld via Whatsapp-groepen als de e-mail nog niet werkt. Voorkom dat er spookverhalen rondgaan. Collega’s willen weten of ze nog een baan hebben of het bedrijf niet failliet gaat.”

Data isoleren

De cybersecurityspecialist benadrukt dat het een illusie is te denken dat je niet interessant bent of niet wordt geraakt in deze tijd. Daarom is het – zeker voor accountantskantoren – een must om informatie zo goed mogelijk te beveiligen. “Cybercriminelen zijn erop uit om je af te persen. Dat doen ze op diverse manieren. Allereerst door data te versleutelen, maar ze zullen ook proberen om gegevens – van klanten of van medewerkers – te kopiëren. Ze dreigen om deze op het Darkweb te zetten als je niet betaalt. Dat wil je niet.” aldus Waterman.

Een belangrijke boodschap daarbij is: zorg dat je netwerk uit verschillende compartimenten bestaat. “Zorg dat dieven niet zomaar kunnen doorstoten naar je kroonjuwelen. Er zijn technologieën die ervoor zorgen dat data geïsoleerd blijven en dat een geïnfecteerde laptop van een medewerker niet het hele bedrijf zal besmetten.” Ook is het raadzaam om dieven een stap voor te zijn. “Door gegevens automatisch te versleutelen en vooraf data op waarde te classificeren. Zo hebben criminelen er niets aan.”

Lage pakkans voor cybercriminelen

ACA IT Solutions helpt het mkb al enige jaren weerbaarder te maken tegen cybercriminelen. Het bedrijf ontwikkelde diverse security diensten, waaronder een assessment. “Daarbij checken we de ict-infrastructuur van een bedrijf op 24  basismaatregelen – het gaat bijvoorbeeld om de back-up strategie, het wachtwoordbeleid en de e-mailbeveiliging. Zelden komt een bedrijf verder dan de helft van de criteria.” Dat is zorgelijk, vindt Waterman, “We kunnen en moeten beter worden. Gemiddeld vragen cybercriminelen 2 tot 5 procent van de jaaromzet aan losgeld. Bij een gemiddeld mkb-bedrijf komt dit al snel neer op enkele tonnen. Voor cybercriminelen is het mede door de lage pakkans een lucratieve business.”

Maar Waterman wil vooral ook een morele oproep doen. “Ik vind dat ondernemers hun verantwoordelijkheid moeten nemen. Als je het niet goed regelt, loopt je bedrijf risico. Daarmee dupeer je collega’s als ze door de nasleep van een cyberincident hun baan kwijtraken. Criminelen gaan aan de haal met gegevens van klanten. Het is bijna arrogant als je je schouders ophaalt voor de risico’s.”

Houd cybercriminelen buiten de deur

Ondanks de toenemende dreiging, onderschatten veel mkb-bedrijven de risico’s. De basismaatregelen zijn vaak niet op orde. Cybercriminelen scannen continu op zwakke plekken binnen ICT-systemen van bedrijven. Maar hoe houd je cybercriminelen buiten de deur? Wij hebben een whitepaper opgesteld waarin we beschrijven hoe jij de basis op orde krijgt en geven we praktische tips om weerbaarder te zijn tegen cybercriminelen. Ook vind je in de whitepaper een calamiteitenplan mocht het fout gaan. Uit het gesprek met Michael Waterman blijkt maar hoe belangrijk een goed uitgedacht calamiteitenplan is tijdens een hersteloperatie. Want honderd procent veilig bestaat niet. Je kan maar beter goed voorbereid zijn!

Download de whitepaper