Bilthoven Biologicals werd getroffen door een ransomware-aanval. Het bedrijf, dat zich bezighoudt met de ontwikkeling en productie van vaccins, was zich bewust van de dreiging van cyberaanvallen en had voorbereidingen getroffen. Hierdoor bleef de schade beperkt. IT-infrastructuurarchitect Paul Vries deelt graag zijn ervaringen.
Door Marc de Schepper
Paul Vries vertelt hoe de ransomware-aanval verliep: “De ontdekking van de aanval begon met afwijkende patronen op het netwerk en meldingen van gebruikers. Het leek in eerste instantie om kleine problemen te gaan: medewerkers hadden bijvoorbeeld geen toegang meer tot het intranet of konden niet bij hun documenten. Het aantal klachten liep echter snel op. Na onderzoek werd duidelijk dat hackers de avond ervoor malware geactiveerd hadden, waarschijnlijk na uitgebreid vooronderzoek.”
De IT-afdeling vond in de eigen systemen namelijk een gijzelbrief en zag dat de hackers op dat moment nog verder in de systemen aan het rommelen waren. Alle bedrijfscomputers en internetverbindingen moesten daarom onmiddellijk uitgeschakeld worden, wat bijna het gehele bedrijf platlegde.
> LEES OOK: Helft van Nederlandse organisaties slachtoffer van succesvolle cyberaanval
Crisisteam van medewerkers en IT-partners
Vries: “We gingen direct om de tafel met een crisisteam van medewerkers en IT-partners. Ons eerste doel was om het reguliere productieproces van de vaccins zo snel mogelijk weer door te laten lopen. We produceren vaccins tegen onder andere polio en die processen kan je niet zomaar stilleggen. Een van de gevolgen is dat je dan bijvoorbeeld een hele batch moet weggooien. Dat was rampzalig geweest. De productiesystemen weer veilig online krijgen, had duidelijke prioriteit. Maar eerst moest gecheckt worden of de hackers niet hadden toegeslagen in de besturingssoftware. Eén productlijn bleek besmet, maar deze lag toevallig net stil wegens gepland onderhoud. Dat was een voordeel, want hier was dus al rekening mee gehouden in de productieplanning. De overige productielijnen draaiden op een andere server en konden geïsoleerd worden van de geïnfecteerde systemen. Daardoor konden we die nog op de eerste dag van de aanval weer veilig in gebruik nemen.”
> LEES OOK: ‘Angstaanjagende’ stijging van aantal ransomware-aanvallen
Herstel dankzij airgapped back-ups
Eén dag na de detectie van de aanval werd begonnen met het herstel van de aangerichte schade in de IT-systemen. Recentelijk was Bilthoven Biologicals begonnen met het aanleggen van nieuwe back-ups die draaiden op Commvault. De belangrijkste systemen konden vanuit deze nieuwe en totaal gescheiden back-ups teruggezet worden.
Vries: “Deze back-ups waren ‘airgapped’, wat betekent dat geen enkele medewerker erbij kon. Doordat wij deze bewust volledig hadden losgekoppeld van de bedrijfssystemen zijn deze niet geraakt door de aanval. Dat betekende dat nog een dag later, ofwel op dag 4 gerekend vanaf de eigenlijke aanval, de belangrijkste bedrijfsprocessen weer operationeel waren. In de dagen erna namen we alle andere applicaties weer in gebruik. Daar zat nog wel een uitdaging in omdat wij als IT-afdeling soms een andere inschatting maakten van de prioriteit van bepaalde applicaties dan andere afdelingen in het bedrijf. Daar hebben we nog flink mee geschoven, tot we uiteindelijk weer alles op de rit hadden.”
Alles kwam goed zonder te onderhandelen over losgeld
En dat alles, tot opluchting van het getroffen bedrijf, zonder te hoeven onderhandelen over losgeld voor de data met de criminelen. Vries: “We hebben nooit de intentie gehad om in contact te treden met de hackers en dat bleek uiteindelijk gelukkig ook niet nodig.”
Essentiële leerpunten
Het bedrijf had de zaken redelijk goed op orde, wist de aanval effectief te pareren, en heeft gaandeweg het proces ook nog veel bijgeleerd. Hieronder drie essentiële leerpunten die deze praktijkcase van een ransomware-aanval hebben opgeleverd.
1. Endpoint-beveiliging
Zorg dat alle endpoints goed beveiligd zijn en dat medewerkers zich bewust zijn van de gevaren van een cyberaanval. In dit geval konden de hackers binnenkomen via een laptop van een medewerker, waar privé- en werkzaken door elkaar heen liepen. Zij omzeilden de beveiliging door middel van MFA Fatigue, waarbij een aanvaller meerdere multifactor authentication-verzoeken stuurt totdat het slachtoffer op akkoord klikt.
Medewerkers komen vaak in de verleiding om onbeveiligde programma’s te gebruiken naast de bedrijfssystemen, als ze vanaf de thuiswerkplek onvoldoende toegang hebben tot de apps die ze nodig hebben om hun werk goed te doen. Ze plaatsen dan bijvoorbeeld documenten in een opslag op internet van een gratis aanbieder, zodat ze hier makkelijk bij kunnen. Dat levert zwakke punten op in de beveiliging. Een betere bewustwording en training van medewerkers is één deel van de oplossing, maar daarnaast moet het ook gebruikelijk zijn dat medewerkers vanaf andere locaties volledig ondersteund worden om hun werk goed te doen.
De toegang tot alle apps en systemen was in het verleden vaak lastig te realiseren. Het betekende meer werk en dus een zwaardere belasting voor de IT-afdeling. Dit kan tegenwoordig allemaal goed geregeld worden dankzij innovatie op onder andere het gebied van automatisering, en slimmere oplossingen die om minder capaciteit en onderhoud vragen.
> LEES OOK: Cybersecurity in 2023: bedreigingen nemen toe, maar best practices werken nog steeds
2. Herstelplan en datasecurity
Om ervoor te zorgen dat je bedrijf na een incident weer snel operationeel is, is het van belang om een goed herstelplan te hebben. Hierin worden de kernprocessen van het bedrijf beschreven, en wordt vastgelegd hoe deze zo snel mogelijk weer kunnen worden opgestart. Daarnaast is het van groot belang om de data van het bedrijf goed te beveiligen en te beschermen tegen bedreigingen zoals datalekken en ransomware. Een goede datasecuritystrategie kan hierbij helpen. Door gebruik te maken van geavanceerde bedreigings- en anomaliedetectie, kan de impact van bedreigingen op bedrijfsgegevens worden beperkt. Ook wordt de toegang tot belangrijke gegevens gecontroleerd.
Het tijdig detecteren van bedreigingen en afwijkingen in het systeem kan ervoor zorgen dat er snel kan worden ingegrepen en de schade kan worden beperkt. Vries: “Wij waren net een half jaar voor de aanval gestart met het op orde brengen van onze datasecurity. Hoewel we nog niet alle beveiligings- maatregelen hadden geïmplementeerd, waren de belangrijkste bedrijfsprocessen gelukkig wel al beveiligd met behulp van de nieuwe back-ups. Hierdoor konden deze systemen snel worden hersteld. Het regelmatig maken van back-ups en deze ge-airgapt bewaren, was een belangrijke maatregel die ons in feite heeft gered.”
3. Disaster recovery-plan
Daar waar een herstelplan gericht is op het weer operationeel krijgen van de belangrijkste processen na een incident, gaat een disaster recovery-plan een stap verder. Hierin is vastgelegd in welke volgorde je alle andere bedrijfsprocessen weer gaat opstarten na een incident. Het lijkt op het eerste gezicht vanzelfsprekend dat bepaalde systemen, zoals productiesystemen, voorrang horen te krijgen. Maar de interactie tussen bedrijfsprocessen, systemen en hoe schade ontstaat wanneer die offline zijn, blijkt vaak complex. Een gedegen disaster recovery-plan is daarom van belang om te schade door een ransomware-aanval tot het minimum te beperken.
> LEES OOK: Eén op de vijf bedrijven betaalt losgeld of is bereid losgeld te betalen voor data
Risico’s verminderen en bedrijfscontinuïteit garanderen
Voor het opstellen van een plan is het van belang om eerst te inventariseren welke belangrijke gegevens en systemen moeten worden beschermd. Vervolgens moet er niet alleen een back-up- en herstelstrategie worden opgesteld, maar moet die ook getest worden om te zien of het werkt in de praktijk. Het is ook belangrijk om ervoor te zorgen dat de relevante medewerkers op de hoogte zijn van het recovery-plan en getraind worden in de uitvoering ervan. Tot slot moet het plan regelmatig worden geëvalueerd en bijgewerkt om ervoor te zorgen dat het nog steeds effectief is in geval van een calamiteit. Met een uitgewerkt data-recovery-plan kan een organisatie de risico’s op dataverlies verminderen en de bedrijfscontinuïteit garanderen.
Bedrijven hoeven geen speelbal te zijn van cybercriminelen
Geen kwestie van of je geraakt wordt maar wanneer
Vries: “In ons geval was het voor iedereen duidelijk dat het produceren van vaccins het belangrijkste bedrijfsproces is. Maar tijdens de vervolgstappen van het herstelproces kwamen andere cruciale processen naar voren, zoals de facturatie en de werving van nieuwe medewerkers. De financiële afdeling en de HR-afdeling trokken bij ons aan de bel, omdat ze geen e-mails meer konden sturen vanuit hun systemen. Op de IT-afdeling hadden we dat oorspronkelijk lager op de prioriteitenlijst staan, omdat wij ons in eerste instantie niet realiseerden dat hier een groot bedrijfsbelang lag. Dit laat zien dat het belangrijk is om alle bedrijfsproces- sen goed te analyseren en vooraf prioriteiten te stellen, om meerwerk tijdens het herstel te voorkomen.” De ransomware-mantra ‘het is geen kwestie van of je geraakt wordt maar wanneer’, ging ook op voor Bilthoven Biologicals.
Maar de case toont ook aan dat bedrijven geen speelbal hoeven te zijn van cybercriminelen, en hoe gedegen voorbereidingen en investeringen in cyber- en datasecurity kunnen helpen om de schade te minimaliseren.
Marc de Schepper is manager sales engineering BeNeLux bij Commvault
tel.: 030-4100677.
Volg Security Management op LinkedIn
